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六 言 EE 


网 络 空间 已 成 为 国家 继 陆 、 海 、 空 、 天 四 个 疆域 之 后 的 第 五 疆域 ， 正 如 《国家 网 络 空间 安 
全 战略 》 所 指出 ， 网 络 空间 已 成 为 信息 传播 的 新 渠道 、 生 产生 活 的 新 空间 、 经 济 发 展 的 新 引擎 、 
文化 繁荣 的 新 载体 、 社 会 治理 的 新 平台 、 交 流 合作 的 新 纽带 、 国 家 主权 的 新 疆域 。 与 此 同时 ， 
网 络 安全 问题 也 逐渐 凸显 。 目 前 ， 网 络 安全 形势 日 益 严峻 ， 网 络 安全 新 型 威胁 不 断 出 现 ， 国 家 
政治 、 经 济 、 文 化 、 社 会 、 国 防 安全 及 公民 在 网 络 空间 的 合法 权益 面临 多 种 风险 与 挑战 。 国 际 
上 争夺 和 控制 网 络 空间 战略 资源 ， 抢 占 规则 制定 权 和 战略 制高点 ， 谋 求 战略 主动 权 的 竞争 日 趋 
激烈 。2014 年 ， 习 近 平 总 书记 在 中 央 网 络 安全 与 信息 化 领导 小 组 会 议 上 指出 ， 没 有 网 络 安全 就 
没有 国家 安全 ， 没 有 信息 化 就 没有 现代 化 。 网 络 安全 为 人 民 ， 网 络 安全 靠 人 民 。 为 此 ， 全 国 计 
算 机 技术 与 软件 专业 技术 资格 〈 水 平 ) 考试 办 公 室 决定 开展 “信息 安全 工程 师 ” 岗 位 的 人 才 评 
价 工作 ， 以 加 快 推进 国家 网 络 信息 安全 人 才 队 伍 建设 。 

为 配合 “信息 安全 工程 师 ” 考 试 工作 的 开展 ， 给 准备 参加 考试 的 技术 人 员 提 供 一 本 合适 的 
教材 , 我 们 受 全 国 计 算 机 专业 技术 资格 考试 办 公 室 的 委托 , 编写 了 这 本 《信息 安全 工程 师 教程 》 
(第 2 版 )。 全 书 共 26 章 ， 主 要 内 容 包 括 网 络 信息 安全 基础 知识 、 网 络 信 息 安全 主流 技术 、 网 
络 信息 安全 风险 评估 和 测评 、 网 络 信息 安全 工程 、 网 络 信息 安全 管理 、 网 络 信息 安全 应 用 案例 。 
书 中 汇聚 了 国家 网 络 安全 法 律 法 规 及 政策 与 标准 规范 、 学 术 界 网 络 安全 前 沿 技术 研究 成 果 、 工 
业界 网 络 安全 产品 技术 与 服务 、 用 户 网 络 安全 最 佳 实践 经 验 和 案例 。 

本 书 由 薪 建 春 任 主编 ， 文 伟 平 、 焦 健 任 副 主编 。 参 加 编写 的 人 员 还 有 梅 瑞 、 杨 海 、 胡 振 宇 、 
李 经 纬 、 刘 洪 毅 、 兰 阳 、 方 宇 彤 、 贾 云龙 、 蒋 时 雨 、 魏 柳 、 张 逸 然 、 王 林 飞 、 杜 笑 宇 、 赵 国 梁 、 
刘 宇 航 、 叶 何 、 陈 夏 润 、 陈 勇 龙 、 王 小 育 等 。 此 外 ， 本 书 还 直接 引用 了 网 络 信息 安全 标准 成 果 
并 参考 了 网 络 上 与 信息 安全 相关 的 文章 ， 因 受 篇 幅 限制 ， 不 便 一 一 列举 ， 在 此 表示 感谢 。 书 中 
若 有 涉及 知识 产权 不 当 之 处 ， 敬 请 联系 作者 加 以 修订 。 

本 书 的 编写 参考 和 引用 了 政府 部 门 、 学 术 界 、 工 业界 、 用 户 以 及 行业 机 构 等 单位 的 网 络 信 
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1.1 网 络 发 展现 状 与 重要 性 认识 


信息 传递 和 安全 的 重要 性 自古 以 来 都 得 到 人 们 的 认可 。 早 在 中 国 古 代 就 建立 了 烽火 台 、 驿 
站 以 快速 传递 军事 信息 ， 可 见 人 们 对 信息 重要 价值 的 认同 和 重视 。 随 着 网 络 信息 科技 和 应 用 的 
发 展 ， 数 字 化 信息 的 传递 日 益 快速 和 普及 ， 全 球 变 成 了 一 个 “地 球 村 ”， 神 话 传说 中 的 “顺风 
耳 ” 和 “千里 眼 ” 成 为 现实 。 数字 化 、 网 络 化 、 管 能 化 成 为 信息 社会 的 主要 特征 ， “万物 互联 ” 
时 代 已 经 来 临 。 基 于 TCP/IP 协议 的 互联 技术 理念 已 广泛 、 深 入 地 应 用 到 工业 生产 、 商 业 服 务 、 
社会 生活 等 各 个 领域 ， 形 成 各 种 各 样 的 网 络 ， 如 工业 互联 网 、 车 联网 、 社 交 网 、 产 业 互联 网 等 ， 
这 些 网 络 不 断 推动 各 个 领域 的 变革 。 计 算 机 网 络 演变 成 人 类 活动 的 新 空间 ， 即 网 络 空间 ， 它 是 
国家 继 陆 、 海 、 空 、 天 四 个 疆域 之 后 的 第 五 疆域 。 与 此 同时 ， 网 络 空间 信息 安全 (通称 为 网 络 
信息 安全 ) 问题 也 日 益 凸 显 ， 网 络 信息 安全 的 影响 越 来 越 大 。 本 节 主 要 讲述 网 络 空间 的 相关 概 
念 ， 简 要 给 出 了 网 络 信息 安全 的 演变 过 程 ， 同 时 闻 述 了 国内 外 对 于 网 络 信 息 安全 重要 性 的 认识 
和 采取 的 战略 措施 。 


1.1.1 网 络 信息 安全 相关 概念 


网 络 信息 安全 的 发 展 历经 了 通信 保密 、 计 算 机 安全 、 信 息 保障 、 可 信 计 算 等 阶段 。 狭 义 上 
的 网 络 信息 安全 特 指 网 络 信息 系统 的 各 组 成 要 素 符合 安全 属性 的 要 求 ， 即 机 密 性 、 完 整 性 、 可 
用 性 、 抗 抵赖 性 、 可 控 性 。 广 义 上 的 网 络 信息 安全 是 涉及 国家 安全 、 城 市 安全 、 经 济 安全 、 社 
会 安全 、 生 产 安全 、 人 身 安全 等 在 内 的 “大 安全 ”。 网 络 信息 安全 通常 简称 为 网 络 安全 。 根 据 
《中 华人 民 共 和 国 网 络 安全 法 》 中 的 用 语 含义 ， 网 络 安全 是 指 通 过 采取 必要 措施 ， 防 范 对 网 络 
的 攻击 、 侵 入 、 干 扰 、 破 坏 和 非法 使 用 以 及 意外 事故 ， 使 网 络 处 于 稳定 可 靠 运 行 的 状态 ， 以 及 
保障 网 络 数据 的 完整 性 、 保 密 性 、 可 用 性 的 能 力 。 

围绕 网 络 安全 问题 ， 保 障 网 络 信息 安全 的 对 象 内 容 、 理 念 方法 、 持 续 时 间 都 在 不 断 演 变 ， 
其 新 的 变化 表现 为 三 个 方面 : 一 是 保障 内 容 从 单 维度 向 多 维度 转变 ， 保 障 的 维度 包含 网 络 空间 
域 、 物 理 空间 域 、 社 会 空间 域 ， 二 是 网 络 信息 安全 保障 措施 从 单一 性 〈 技 术 ) 向 综合 性 (法 律 、 
政策 、 技 术 、 管 理 、 产 业 、 教 育 ) 演变 ; 三 是 保障 时 间 维 度 要 求 涵盖 网 络 系统 的 整个 生命 周期 ， 
保障 响应 速度 要 求 不 断 缩短 ， 网 络 信息 安全 没有 战 时 、 平 时 之 分 ， 而 是 时 时 刻 刻 。 


1.1.2 ”网 络 信 息 安全 重要 性 认识 
正如 《国家 网 络 空间 安全 战略 》 所 指出 ， 网 络 空间 已 成 为 信息 传播 的 新 渠道 、 生 产生 活 的 
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新 空间 、 经 济 发 展 的 新 引擎 、 文 化 繁荣 的 新 载体 、 社 会 治理 的 新 平台 、 交 流 合作 的 新 纽带 、 国 
家 主权 的 新 疆域 。 网 络 空间 正在 全 面 改 变 人 们 的 生产 生活 方式 ， 深 刻 影响 人 类 社会 历史 的 发 展 
进程 。 

随 着 网 络 信息 化 应 用 的 深入 进展 ， 网 络 空间 已 经 成 为 支撑 关键 行业 开展 业务 的 基础 平台 ， 
网 络 信息 安全 将 直接 影响 业务 的 正常 运转 , 关系 国家 安全 、 社 会 稳定 和 数字 经 济 的 发 展 。 目 前 
网 络 信 息 安全 形势 日 益 严 峻 ， 网 络 信息 安全 新 型 威胁 不 断 出 现 ， 国 家 政治 、 经 济 、 文 化 、 社 会 、 
国防 安全 及 公民 在 网 络 空间 的 合法 权益 面临 多 种 风险 与 挑战 。 国 际 上 争夺 和 控制 网 络 空间 战略 
资源 ， 抢 占 规则 制定 权 和 战略 制高点 ， 谋 求 战略 主动 权 的 竞争 日 趋 激 烈 。 

网 络 空间 是 不 同 于 陆 、 海 、 空 、 天 的 虚拟 数字 空间 ， 人 们 常常 难以 直接 感受 到 其 存在 。 因 
而 ， 网 络 空间 信息 安全 与 传统 安全 有 着 明显 差异 ， 其 具有 网 络 安全 威胁 高 隐蔽 性 、 网 络 安全 技 
术 高 密集 性 、 网 络 安全 控制 地 理 区 域 不 可 限制 性 、 网 络 安全 防护 时 间 不 可 区 分 性 、 网 络 攻防 严 
重 非 对 称 性 等 特点 。2016 年 国家 发 布 了 《国家 网 络 空间 安全 战略 》， 相 关 的 网 络 安全 法 律 法 规 
政策 也 相继 出 台 。《 中 华人 民 共 和 国 网 络 安全 法 》 已 于 2017 年 6 月 1 日 起 实施 。 为 加 强 网 络 
安全 教育 ， 网 络 空间 安全 已 被 增设 为 一 级 学 科 。 自 2014 年 起 ， 全 国 各 地 政府 部 门 定期 组 织 举 
办 “国家 网 络 安全 宣传 周 ”， 以 提升 全 民 的 网 络 安全 意识 。 国 家 网 络 安全 工作 坚持 网 络 安全 为 
人 民 ， 网 络 安全 靠 人 民 ， 让 “没有 网 络 安全 就 没有 国家 安全 ”成 为 全 社会 的 共识 。 


1.2 ”网络 信息 安全 现状 与 问题 


本 节 主要 曾 述 网 络 信息 安全 的 基本 状况 ， 分 析 网 络 信息 安全 存在 的 主要 问题 。 
1.2.1 网 络 信息 安全 状况 


目前 ， 网 络 面临 着 不 同 动机 的 威胁 ， 要 承受 不 同类 型 的 攻击 。 网 络 信息 泄露 、 恶 意 代 码 、 
垃圾 邮件 、 网 络 恐 怖 主义 等 都 会 影响 网 络 安全 。 多 协议 、 多 系统 、 多 应 用 、 多 用 户 组 成 的 网 络 
环境 ,复杂 性 高 ， 存 在 难以 避免 的 安全 漏洞 。 网 络 安全 事件 时 有 发 生 ， 如 震 网 病毒 、 乌 克 兰 大 
停电 事件 、 多 国 银行 SWIFT 系统 被 攻击 事件 、 物 联网 恶意 程序 导致 美国 断 网 事件 、 域 名 劫持 
事件 、 永 恒 之 蓝 网 络 蠕虫 事件 等 ?>。2018 年 ，CNCERT 协调 处 置 网 络 安全 事件 约 10.6 万 起 ， 其 
中 网 页 仿冒 事件 最 多 ， 其 次 是 安全 漏洞 、 恶 意 程 序 、 网 页 算 改 、 网 站 后 门 、DDoS 攻击 等 事件 。 
国内 外 研究 表明 ， 针 对 关键 信息 基础 设施 的 高 级 持续 威胁 (简称 APT) 日 趋 常态 化 。2018 年 ， 
全 球 专 业 网 络 安 全 机 构 发 布 了 各 类 高 级 威胁 研究 报告 478 份 ， 同 比 增长 了 约 3.6 倍 ， 这 些 报告 
涉及 已 被 确认 的 APT 攻击 组 织 包括 APT28、Lazarus、Group 123、 海 莲花 、MuddyWater 等 53 
个 "。 网 络 安全 相关 研究 工作 表明 ， 国 外 APT 组 织 已 经 针对 国内 的 金融 、 政 府 、 教 育 、 科 研 等 
目标 系统 持续 发 动 攻击 。 


@ ”相关 信息 来 源 于 360 威胁 情报 中 心 《 全 球 关键 信息 基础 设施 网 络 安全 状况 分 析 报告 》、CNCERT《2018 
年 我 国 互联 网 网 络 安全 态势 综述 》 。 
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1.2.2 网络 信息 安全 问题 


网 络 信息 安全 是 网 络 信息 化 不 可 回避 的 重要 工作 ， 主 要 有 十 二 个 方面 的 问题 亚 须 解决 ， 分 
别 叙述 如 下 。 


1. 网 络 强 依赖 性 及 网 络 安全 关联 风险 凸显 


随 着 网 络 信息 技术 的 发 展 ， 社 会 各 个 方面 对 网 络 信息 系统 的 依赖 性 增强 ， 且 各 种 关键 信息 
基础 设施 相互 关联 ， 因 而 对 网 络 安全 的 影响 范围 日 益 扩 大 ， 产 生 级 联 反 应 、 蝴 蝶 效 应 ， 建 立 可 
信 的 网 络 信息 环境 成 为 迫切 的 需求 。 


2. 网 络 信息 产品 供应 链 与 安全 质量 风险 


国内 网 信 核 心 技术 欠缺 ,许多 关键 产品 和 服务 对 国外 的 依赖 度 仍然 较 高 ， 从 硬件 到 软件 都 
不 同 程度 地 受制 于 人 ， 网 络 安全 基础 仍然 不 牢靠 。 同 时 ， 网 络 信息 产品 技术 的 安全 质量 问题 具 
有 普遍 性 ， 网络 安全 漏洞 时 有 出 现 ， 即 使 知名 工厂 商 的 产品 也 或 多 或 少 存在 安全 漏洞 ， 网络 安 
全 漏洞 的 发 现 与 管理 任务 仍然 艰巨 。 根 据 国家 信息 安全 漏洞 共享 平台 统计 (截至 2020 年 5 月 )， 
操作 系统 漏洞 条 目 己 达 到 上 万 条 , 网 络 设备 漏洞 条 目 有 七 千 多 条 , 数据 库 漏洞 条 目 有 两 千 多 条 。 
2018 年 ，CNCERT 使 用 工业 互联 网 安全 测试 平台 Acheron， 对 主流 工业 控制 设备 、 网 络 安全 专 
用 产品 进行 了 安全 入 网 抽检 ， 并 对 电力 二 次 设备 进行 了 专项 安全 测试 ， 在 所 涉及 的 产品 中 共 发 
现 两 百 多 个 高 危 漏洞 , 这 些 漏洞 可 能 产生 的 风险 有 拒绝 服务 攻击 、 远 程 命令 执行 、 信 息 泄露 等 。 


3. 网 络 信息 产品 技术 同 质 性 与 技术 滥用 风险 


网 络 信息 系统 软 硬 件 产品 技术 具有 高 度 同 质 性 ， 缺 少 技术 多 样 性 ， 极 易 构 成 大 规模 网 络 安 
全 事件 触发 条 件 ， 特 别 是 网 络 蠕虫 安全 事件 。 同 时 ， 网 络 信息 技术 滥用 容易 导致 网 络 安全 事件 
发 生 ， 如 大 规模 隐私 数据 泄露 ， 内 部 人 员 滥 用 网 络 信 息 技 术 特 权 构 成 网 络 安全 威胁 。 网 络 安全 
威胁 技术 的 工具 化 ， 让 攻击 操作 易于 实现 ， 使 网 络 攻击 活动 日 益 频繁 和 广泛 流行 。 


4. 网 络 安全 建设 与 管理 发 展 不 平衡 、 不 充分 风险 


网 络 安 全 建设 缺乏 总 体 设计 ， 常 常 采 取 “ 亡 羊 补 牢 ” 的 方式 构建 网 络 安全 机 制 ， 从 而 导致 
网 络 信息 安全 隐患 。“ 重 技术 ， 轻 管理 ， 重 建设， 轻 运 营 ; 重 硬件 ， 轻 软件 ”的 网 络 安全 认识 
偏差 ， 使 得 网 络 安全 机 制 难以 有 效 运行 ， 导 致 网 络 安全 建设 不 全 面 。 例 如 ， 网 络 设备 的 口令 直 
接 用 厂家 默认 配置 ， 认 证 访问 控制 机 制 形同虚设 。2018 年 CNCERT 开展 的 远程 安全 巡 检 工 作 
发 现 ， 电 力行 业 暴露 相关 监控 管理 系统 532 个 ， 涉 及 政府 监管 、 电 企管 理 、 用 电 管 理 和 云 平台 
4 大 类 ; 城市 公用 工程 行业 暴露 相关 监控 管理 系统 1015 个 ， 涉 及 供水 、 供 暖和 燃气 3 大 类 ; 石 
油 天 然 气 行业 暴露 相关 监控 管理 系统 298 个 , 涉及 油气 开采 、 油气 运 输 、 油 气 存储 、 油 品 销售 、 
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化 工 生产 和 政府 监管 6 大 类 ? 。 
5. 网 络 数据 安全 风险 


网 络 中 大 量 数据 不 断 地 生成 、 传 输 、 存 储 、 加 工 、 分 发 、 共 享 ， 支 撑 着 许多 关系 国计民生 
的 关键 信息 系统 运营 。 由 于 数据 处 理 复杂 ， 涉 及 多 个 要 素 ， 数 据 安全 风险 控制 是 一 个 难题 。 若 
关键 系统 的 某 些 重要 的 数据 失去 安全 控制 ， 就 会 导致 系统 运行 中 断 ， 引 发 社会 信任 危机 ， 甚 至 
危及 人 身 安全 。 例 如 ， 电 力 控制 系统 指令 的 安全 关系 电网 的 正常 运行 ， 生 产 经 营 数据 的 失真 影 
响 企业 决策 ， 电 子 病 历 的 安全 影响 个 人 健康 和 隐私 。 


6. 高 级 持续 威胁 风险 


APT 攻击 威胁 活动 日 益 频繁 , 包括 对 目标 对 象 采用 鱼 又 邮件 攻击 、 水 坑 攻 击 、 网 络 流量 动 
持 、 中 间 人 攻击 等 ， 综 合 利用 多 种 技术 以 实现 攻击 意图 ， 规 避 网 络 安全 监测 。APT 攻击 目标 总 
体 呈 现 出 与 地 缘 政 治 紧密 相关 的 特性 ， 受 攻击 的 领域 主要 包括 国防 、 政 府 、 金 融 、 外 交 和 能 源 
等 。 此 外 ， 医 疗 、 传 媒 、 电 信 等 国家 服务 性 行业 领域 也 正面 临 越 来 越 多 的 APT 攻击 风险 。 


7. 恶意 代码 风险 


网 络 时 刻 面临 计算 机 病毒 、 网 络 蠕 虫 、 特 洛 伊 木 马 、 僵 尸 网 络 、 逻 辑 炸弹 、Rootkit、 勒 索 软件 
等 恶意 代码 的 威胁 。2018 年 ，CNCERT 捕获 勒索 软件 数量 达到 十 万 以 上 ， 全 年 总 体 呈 现 增长 趋势 。 


8. 软件 代码 和 安全 漏洞 风险 


由 于 软件 工程 和 管理 等 问题 ， 新 的 软件 代码 安全 漏洞 仍然 不 断 地 输入 网 络 信息 环境 中 ， 这 
些 安全 漏洞 都 可 能 成 为 攻击 切入 点 , 攻击 者 利用 安全 漏洞 入 侵 系统 , 窃取 信息 和 破坏 系统 。 2018 
年 ， 国 家 信息 安全 漏洞 共享 平台 收集 新 增 漏洞 14 201 个 ， 其 中 ， 高 危 漏洞 4898 个 。 


9. 人 员 的 网 络 安全 意识 风险 


网 络 信息 系统 是 人 、 机 、 物 融合 而 成 的 复杂 系统 ， 而 实际 工作 过 程 中 容易 忽略 人 的 关键 安 
全 作用 。 研 究 表明 ， 网 络 用 户 人 员 选 择 弱 口令 的 比例 仍然 较 大 ; 利用 网 络 用 户 U 盘 是 实施 网 络 
物理 隔离 摆渡 攻击 的 重要 环节 。 


10. 网 络 信息 技术 复杂 性 和 运营 安全 风险 


随 着 云 计算 、 大 数据 、 人 工 智能 、 移 动 互联 网 、 物 联网 等 新 一 代 信息 技术 的 普及 应 用 ， 网 
络 信 息 系统 的 开放 性 、 智 能 性 等 不 断 提升 ， 网 络 安全 运营 的 复杂 性 更 高 ， 其 安全 风险 加 大 。 云 
计算 使 得 网 络 安全 边界 模糊 化 ， 网 络 安全 防护 难度 增加 ， 云 平台 的 安全 运 维 水 平 要 求 更 高 。 业 
务 连续 性 高 的 要 求 使 得 网 络 信息 系统 的 安全 补丁 维护 管理 成 本 提升 。 物 联网 的 开放 性 扩大 了 网 


@ 相关 数据 来 源 于 CNCERT《2018 年 我 国 互 联网 网 络 安全 态势 综述 》。 
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络 信息 系统 的 安全 威胁 途径 。 
11. 网 络 地 下 黑 产 经 济 风险 


网 络 地 下 黑 产 组 织 利用 攻击 技术 ， 建 立 “ 僵 尸 网 络 ”， 提 供 DDoS 服务 。 根 据 CNCERT 
网 络 安全 数据 报告 ，2018 年 以 来 利用 “肉鸡 ”发 起 DDoS 攻击 的 控制 端 有 两 千 多 个 。 随 着 “ 勒 
索 软件 即 服务 ”的 黑 产 兴起 , 活跃 勒索 软件 的 数量 呈现 快速 增长 势头 ， 且 更 新 频率 加 快 。 例 如 ， 
某 勒索 软件 一 年 出 现 了 约 19 个 版 本 ， 快 速 更 新 迭代 以 躲避 安全 查 杀 。 受 到 加 密 货币 利益 驱动 ， 
挖 矿 团伙 利用 安全 漏洞 、 僵 尸 网 络 、 网 盘 等 进行 快速 扩散 传播 挖 矿 木马 。 其 中 ，WannaMine、 
Xmrig、CoinMiner 等 是 2019 年 流行 的 挖 矿 木马 家 族 ”。 


12. 网 络 间谍 与 网 络 战 风险 


根据 公开 信息 ， 某 国 大 批量 的 网 络 武器 被 曝光 。 网 络 空间 并 非 天 下 太平 ， 一 些 国家 建立 起 
网 军 ， 网 络 战 威胁 时 隐 时 现 。2019 年 6 月 ，《 纽 约 时 报 》 称 俄罗斯 电网 被 植 入 后 门 程序 。 北 约 
举行 全 球 网 络 安全 演习 一 一 “ 锁 盾 2019”， 来 应 对 网 络 战 ， 如 图 1-1 所 示 。 


图 1-1 北约 “ 锁 盾 2019” 示 意图 


1.3 网络 信息 安全 基本 属性 

常见 的 网 络 信息 安全 基本 属性 主要 有 机 密 性 、 完 整 性 、 可 用 性 、 抗 抵赖 性 和 可 控 性 等 ， 此 
外 还 有 真实 性 、 时 效 性 、 合 规 性 、 隐 私 性 等 。 
1.3.1 ”机密 性 


机 密 性 〈Confidentiality) 是 指 网 络 信息 不 泄露 给 非 授权 的 用 户 、 实 体 或 程序 ， 能 够 防止 非 
授权 者 获取 信息 。 例 如 ， 网 络 信息 系统 上 传递 口令 敏感 信息 ， 若 一 旦 攻击 者 通过 监听 手段 获取 


@ 相关 信息 来 源 于 CNCERT《2018 年 我 国 互联 网 网 络 安全 态势 综述 》《2019 年 我 国 互联 网 网 络 安全 态 
势 综述 》。 
@ ”摘编 自 第 七 届 互 联网 安全 大 会 (简称 “ISC 2019”) 演讲 PPT。 
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到 , 就 有 可 能 危及 网 络 系统 的 整体 安全 , 如 网 络 管理 账号 口令 信息 泄露 将 会 导致 网 络 设备 失控 。 
机 密 性 通常 被 称 为 网 络 信息 系统 CIA 三 性 之 一 ， 其 中 C 代表 机 密 性 (Confidentiality》。 机 密 性 
是 军事 信息 系统 、 电 子 政务 信息 系统 、 商 业 信息 系统 等 的 重点 要 求 ， 一 旦 信息 泄密 ， 所 造成 的 
影响 难以 计算 。 


1.3.2 完整 性 


完整 性 〈Integrity) 是 指 网 络 信息 或 系统 未 经 授权 不 能 进行 更 改 的 特性 。 例 如 ， 电 子 邮件 
在 存储 或 传输 过 程 中 保持 不 被 删除 、 修 改 、 伪 造 、 插 入 等 。 完 整 性 也 被 称 为 网 络 信息 系统 CIA 
三 性 之 一 ,其 中 I 代表 Integrity。 完 整 性 对 于 金融 信息 系统 、 工 业 控 制 系统 非常 重要 ， 可 谓 “ 失 
之 毫 厘 ， 差 之 干 里 ”。 


1.3.3 可 用 性 


可 用 性 〈Availability) 是 指 合法 许可 的 用 户 能 够 及 时 获取 网 络 信息 或 服务 的 特性 。 例 如 ， 
网 站 能 够 给 用 户 提供 正常 的 网 页 访问 服务 ， 防 止 拒绝 服务 攻击 。 可 用 性 是 常 受 关注 的 网 络 信息 
系统 CIA 三 性 之 一 ， 其 中 A 代表 可 用 性 (Availability〉。 对 于 国家 关键 信息 基础 设施 而 言 ， 可 
用 性 至 关 重 要 ， 如 电力 信息 系统 、 电 信 信 息 系统 等 ， 要 求 保持 业务 连续 性 运行 ， 尽 可 能 避免 中 
断 服 务 。 


1.3.4“ 抗 抵赖 性 

抗 抵赖 性 是 指 防止 网 络 信息 系统 相关 用 户 否 认 其 活动 行为 的 特性 。 例 如 ， 通 过 网 络 审计 和 
数字 签名 ， 可 以 记录 和 追溯 访问 者 在 网 络 系统 中 的 活动 。 抗 抵赖 性 也 称 为 非 否认 性 
(Non-Repudiation) ， 不 可 否认 的 目的 是 防止 参与 方 对 其 行为 的 否认 。 该 安全 特性 常用 于 电子 合 
同 、 数 字 签 名 、 电 子 取证 等 应 用 中 。 


1.3.5 ”可 控 性 


可 控 性 是 指 网 络 信息 系统 责任 主体 对 其 具有 管理 、 支 配 能 力 的 属性 ， 能 够 根据 授权 规 
则 对 系统 进行 有 效 掌握 和 控制 ， 使 得 管理 者 有 效 地 控制 系统 的 行为 和 信息 的 使 用 ， 符 合 系 
统 运行 目标 。 


1.3.6 其 他 


除了 常见 的 网 络 信息 系统 安全 特性 ， 还 有 真实 性 、 时 效 性 、 合 规 性 、 公 平 性 、 可 靠 性 、 可 
生存 性 和 隐私 性 等 ， 这 些 安全 特性 适用 于 不 同类 型 的 网 络 信息 系统 ， 其 要 求 程度 有 所 差异 。 


1. 真实 性 


真实 性 是 指 网 络 空间 信息 与 实际 物理 空间 、 社 会 空间 的 客观 事实 保持 一 致 性 。 例 如 ， 网 络 
谣言 信息 不 符合 真实 情况 ， 违 背 了 客观 事实 。 
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2. 时 效 性 


时 效 性 是 指 网 络 空间 信息 、 服 务 及 系统 能 够 满足 时 间 约束 要 求 。 例 如 ， 汽 车 安全 驾驶 的 智 
能 控制 系统 要 求 信息 具有 实时 性 ， 信 息 在 规定 时 间 范 围 内 才 有 效 。 


3. 合 规 性 


合 规 性 是 指 网 络 信息 、 服 务 及 系统 符合 法 律 法 规 政策 、 标 准 规范 等 要 求 。 例 如 ， 网 络 内 容 
符合 法 律 法 规 政策 要 求 。 


4. 公平 性 

公平 性 是 指 网 络 信息 系统 相关 主体 处 于 同等 地 位 处 理 相关 任务 , 任何 一 方 不 占据 优势 的 特 
性 要 求 。 例 如 ， 电 子 合同 签订 双方 符合 公平 性 要 求 ， 在 同一 时 间 签 订 合同 。 

S. 可 靠 性 

可 靠 性 是 指 网 络 信息 系统 在 规定 条 件 及 时 间 下 ， 能 够 有 效 完成 预定 的 系统 功能 的 特性 。 

6. 可 生存 性 


可 生存 性 是 指 网 络 信息 系统 在 安全 受 损 的 情形 下 ， 提 供 最 小 化 、 必 要 的 服务 功能 ， 能 够 支 
撑 业 务 继续 运行 的 安全 特性 。 


7. 隐私 性 


隐私 性 是 指 有 关 个 人 的 敏感 信息 不 对 外 公开 的 安全 属性 ， 如 个 人 的 身份 证 号 码 、 住 址 、 电 
话 号 码 、 工 资 收入 、 疾 病状 况 、 社 交 关 系 等 。 


1.4 网 络 信息 安全 目标 与 功能 


网 络 安全 目标 可 以 分 成 宏观 的 网 络 安全 目标 和 微观 的 网 络 安全 目标 。 通 常 来 说 ， 宏 观 的 网 
络 安全 目标 是 指 网 络 信息 系统 满足 国家 安全 需求 特性 ， 符 合 国家 法 律 法 规 政策 要 求 ， 如 网 络 主 
权 、 网 络 合 规 等 ， 而 微观 的 网 络 安全 目标 则 指 网 络 信 息 系统 的 具体 安全 要 求 。 围 绕 网 络 安全 目 
标 ， 通 过 设置 合适 的 网 络 安全 机 制 ， 以 实现 网 络 安全 功能 。 


1.4.1 网 络 信息 安全 基本 目标 


根据 《国家 网 络 空间 安全 战略 》， 宏 观 的 网 络 安全 目标 是 以 总 体 国家 安全 观 为 指导 ， 贯 彻 
落实 创新 、 协 调 、 绿 色 、 开 放 、 共 享 的 发 展 理念 ， 增 强风 险 意 识 和 危机 意识 ， 统 筹 国内 国际 两 
个 大 局 ， 统 筹 发 展 安全 两 件 大 事 ， 积 极 防御 、 有 效应 对 ， 推 进 网 络 空间 和 平 、 安 全 、 开 放 、 合 
作 、 有 序 ， 维 护 国家 主权 、 安 全 、 发 展 利益 ， 实 现 建设 网 络 强国 的 战略 目标 。 
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网 络 安全 的 具体 目标 是 保障 网 络 信息 及 相关 信息 系统 免 受 网 络 安全 威胁 ， 相 关 保 护 对 象 满 
足 网 络 安全 基本 属性 要 求 ， 用 户 网 络 行为 符合 国家 法 律 法 规 要 求 ， 网 络 信息 系统 能 够 支撑 业务 
安全 持续 运营 ， 数 据 安全 得 到 有 效 保护 。 


1.4.2 网络 信息 安全 基本 功能 


要 实现 网 络 信息 安全 基本 目标 ， 网 络 应 具备 防御 、 监 测 、 应 急 和 恢复 等 基本 功能 ， 下 面 分 
别 简要 叙述 。 


1. 网 络 信息 安全 防御 


网 络 信息 安全 防御 是 指 采 取 各 种 手段 和 措施 ， 使 得 网 络 系统 具备 阻止 、 抵 御 各 种 已 知 网 络 
安全 威胁 的 功能 。 


2. 网 络 信息 安全 监测 


网 络 信息 安全 监测 是 指 采 取 各 种 手段 和 措施 ， 检 测 、 发 现 各 种 已 知 或 未 知 的 网 络 安全 威胁 
的 功能 。 


3. 网 络 信息 安全 应 急 


网 络 信息 安全 应 急 是 指 采 取 各 种 手段 和 措施 ， 针 对 网 络 系统 中 的 突 发 事件 ， 具 备 及 时 响应 
和 处 置 网 络 攻击 的 功能 。 


4. 网 络 信息 安全 恢复 
网 络 信息 安全 恢复 是 指 采 取 各 种 手段 和 措施 ， 针 对 已 经 发 生 的 网 络 灾害 事件 ， 具 备 恢复 网 
络 系统 运行 的 功能 。 


1.5 ”网络 信息 安全 基本 技术 需求 


网 络 信息 安全 基本 技术 需求 主要 有 网 络 物理 环境 安全 、 网 络 信息 安全 认证 、 访 问 控制 、 安 
全 保密 、 漏 洞 扫描 、 恶 意 代码 防 护 、 网 络 信息 内 容 安全 、 安 全 监测 与 预警 、 应 急 响 应 等 ， 下 面 
分 别 进行 阐述 。 
1.5.1 物理 环境 安全 


物理 环境 安全 是 指 包括 环境 、 设 备 和 记录 介质 在 内 的 所 有 支持 网 络 系统 运行 的 硬件 的 总 体 
安全 ， 是 网 络 系统 安全 、 可 靠 、 不 间断 运行 的 基本 保证 。 物 理 安全 需求 主要 包括 环境 安全 、 设 
备 安全 、 存 储 介质 安全 。 
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1.5.2 ”网 络 信息 安全 认证 


网 络 信息 安全 认证 是 实现 网 络 资源 访问 控制 的 前 提 和 依据 ， 是 有 效 保护 网 络 管理 对 象 的 重 
要 技术 方法 。 网 络 认 证 的 作用 是 标识 鉴别 网 络 资源 访问 者 的 身份 的 真实 性 ， 防 止 用 户 假冒 身份 
访问 网 络 资源 。 


1.5.3 ”网 络 信息 访问 控制 


网 络 信息 访问 控制 是 有 效 保护 网 络 管理 对 象 ， 使 其 免 受 威胁 的 关键 技术 方法 ， 其 目标 主要 
有 两 个 : 

(1) 限制 非法 用 户 获取 或 使 用 网 络 资源 

(2) 防止 合法 用 户 滥用 权限 ， 越 权 访问 网 络 资源 。 

在 网 络 系统 中 存在 各 种 价值 的 网 络 资源 ， 这 些 网 络 资源 一 旦 受到 危害 ， 都 将 不 同 程度 地 影 
响 网 络 系统 安全 。 通 过 对 这 些 网 上 资源 进行 访问 控制 ， 可 以 限制 其 所 受到 的 威胁 ， 从 而 保障 网 
络 正常 运行 。 例 如 ， 采 用 防火 墙 可 以 阻止 来 自 外 部 网 的 不 必要 的 访问 请 求 ， 从 而 避免 内 部 网 受 
到 潜在 的 攻击 威胁 。 


1.5.4 ”网 络 信息 安全 保密 


在 网 络 系统 中 ， 承 载 着 各 种 各 样 的 信息 ， 这 些 信 息 的 泄露 将 会 造成 不 同 程度 的 安全 影响 ， 
特别 是 网 络 用 户 的 个 人 信息 和 网 络 管理 控制 信息 。 网 络 安全 保密 的 目的 就 是 防止 非 授权 的 用 户 
访问 网 上 信息 或 网 络 设备 。 为 此 ， 重 要 的 网 络 物理 实体 可 以 采用 辐射 干扰 技术 ， 防 止 电磁 辐射 
泄漏 机 密 信息 。 对 网 络 重要 的 核心 信息 和 敏感 数据 采用 加 密 技 术 保 护 , 防止 非 授权 查看 和 泄露 。 
重要 网 络 信息 系 统 采用 安全 分 区 、 数 据 防 泄露 技术 (简称 DLP 技术 ) 、 物 理 隔 离 技术 等 ,确保 
与 非 可 信 的 网 络 进行 安全 隔离 ， 防 止 敏感 信息 泄露 及 外 部 攻击 。 


1.5.5 ”网络 信 息 安 全 漏洞 扫描 


网 络 系统 、 操 作 系统 等 存在 安全 漏洞 ， 是 黑客 等 入 侵 者 的 攻击 屡屡 得 手 的 重要 原因 。 入 侵 
者 通常 都 是 通过 一 些 程序 来 探测 网 络 系统 中 存在 的 安全 漏洞 ， 然 后 通过 所 发 现 的 安全 漏洞 ， 采 
取 相 应 技术 进行 攻击 。 因 此 ， 网 络 系统 中 需 配 备 弱点 或 漏洞 扫描 系统 ， 用 以 检测 网 络 中 是 否 存 
在 安全 漏洞 ， 以 便 网 络 安全 管理 员 根据 漏洞 检测 报告 ， 制 定 合适 的 漏洞 管理 方法 。 


1.5.6 ”恶意 代码 防护 


网 络 是 病毒 、 蠕 虫 、 特 洛 伊 木马 等 恶意 代码 最 好 、 最 快 的 传播 途径 之 一 。 恶 意 代 码 可 以 通 
过 网 上 文件 下 载 、 电 子 邮 件 、 网 页 、 文 件 共享 等 传播 方式 进入 个 人 计算 机 或 服务 器 。 由 于 恶意 
代码 危害 性 极 大 并 且 传播 极为 迅速 ， 网 络 中 一 旦 有 一 台 主机 感染 了 恶意 代码 ， 则 恶意 代码 就 完 
全 有 可 能 在 极 短 的 时 间 内 迅速 扩散 ,传播 到 网 络 上 的 其 他 主机 ,可 能 造成 信息 泄露 、 文件 丢失 、 
机 器 死机 等 严重 后 果 。 因 此 ， 防 范 恶 意 代 码 是 网 络 系统 必 不 可 少 的 安全 需求 。 
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1.5.7 网络 信 息 内 容 安全 


网 络 信息 内 容 安全 是 指 相关 网 络 信息 系统 承载 的 信息 及 数据 符合 法 律 法 规 要 求 ， 防止 不 良 
信息 及 垃圾 信息 传播 。 相 关 网 络 信息 内 容 安全 技术 主要 有 垃圾 邮件 过 滤 、 卫 地 址 /URL 过 滤 、 
自然 语言 分 析 处 理 等 。 


1.5.8 网 络 信 息 安 全 监测 与 预警 


网 络 系统 面临 着 不 同 级 别 的 威胁 ， 网 络 安全 运行 是 一 件 复杂 的 工作 。 网 络 安全 监测 的 作用 
在 于 发 现 综合 网 系统 入 侵 活 动 和 检查 安全 保护 措施 的 有 效 性 ， 以 便 及 时 报警 给 网 络 安全 管理 
员 ， 对 入 侵 者 采取 有 效 措 施 ， 阻 止 危害 扩散 并 调整 安全 策略 。 


1.5.9 网 络 信息 安全 应 急 响 应 


网 络 系统 所 遇 到 的 安全 威胁 往往 难以 预测 ， 虽 然 采 取 了 一 些 网 络 安全 防范 措施 ， 但 是 由 于 
人 为 或 技术 上 的 缺陷 ， 网 络 信息 安全 事件 仍然 不 可 避免 地 会 发 生 。 既 然 网 络 信息 安全 事件 不 能 
完全 消除 , 则 必须 采取 一 些 措施 来 保障 在 出 现 意外 的 情况 下 ,恢复 网 络 系统 的 正常 运转 。 同 时 ， 
对 于 网 络 攻击 行为 进行 电子 取证 ， 打 击 网 络 犯罪 活动 。 


1.6 ”网络 信 息 安全 管理 内 容 与 方法 


网 络 信息 安全 管理 主要 包括 网 络 信息 安全 管理 概念 、 网 络 信息 安全 管理 方法 、 网 络 信息 安 
全 管理 依据 、 网 络 信息 安全 管理 要 素 、 网 络 信息 安全 管理 流程 、 网 络 信息 安全 管理 工具 、 网 络 
信息 安全 管理 评估 等 方面 。 


1.6.1 网 络 信息 安全 管理 概念 


网 络 信息 安全 管理 是 指 对 网 络 资产 采取 合适 的 安全 措施 ， 以 确保 网 络 资产 的 可 用 性 、 完 整 
性 、 可 控制 性 和 抗 抵 赖 性 等 ， 不 致 因 网 络 设备 、 网 络 通信 协议 、 网 络 服务 、 网 络 管理 受到 人 为 
和 自然 因素 的 危害 ， 而 导致 网 络 中 断 、 信 息 泄露 或 破坏 。 网 络 信息 安全 管理 对 象 主要 包括 网 络 
设备 、 网 络 通信 协议 、 网 络 操作 系统 、 网 络 服务 、 安 全 网 络 管理 等 在 内 的 所 有 支持 网 络 系统 运 
行 的 软 、 硬 件 总 和 。 网 络 信息 安全 涉及 内 容 有 物理 安全 、 网 络 通信 安全 、 操 作 系统 安全 、 网 络 
服务 安全 、 网 络 操作 安全 以 及 人 员 安 全 。 与 网 络 信息 安全 管理 相关 的 技术 主要 有 风险 分 析 、 密 
码 算法 、 身 份 认证 、 访 问 控制 、 安 全 审计 、 漏 洞 扫描 、 防 火 墙 、 入 侵 检 测 和 应 急 响 应 等 。 

网 络 信息 安全 管理 的 目标 就 是 通过 适当 的 安全 防范 措施 ， 保 障 网 络 的 运行 安全 和 信息 安 
全 ， 满 足 网 上 业务 开展 的 安全 要 求 。 


1.6.2 网络 信息 安全 管理 方法 
网 络 信息 安全 管理 是 一 个 复杂 的 活动 ， 涉 及 法 律 法 规 、 技 术 、 协 议 、 产 品 、 标 准 规范 、 文 
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化 、 隐 私 保护 等 ， 同 时 涉及 多 个 网 络 安全 风险 相关 责任 体 。 网 络 安全 管理 方法 主要 有 风险 管理 、 
等 级 保护 、 纵 深 防 御 、 层 次 化 保护 、 应 急 响 应 以 及 PDCA (Plan Do-Check-Act) 方法 等 。 


1.6.3 网络 信息 安全 管理 依据 


网 络 信息 安全 管理 依据 主要 包括 网 络 安全 法 律 法 规 、 网 络 安全 相关 政策 文件 、 网 络 安全 技 
术 标 准 规范 、 网 络 安全 管理 标准 规范 等 。 各 个 国家 都 有 其 相应 的 网 络 安全 法 律 法 规 政策 来 约束 
网 络 安全 管理 活动 。 国 际 上 网 络 安全 管理 的 参考 依据 主要 是 ISOHIEC27001、 欧 盟 通用 数据 保护 
条 例 (General Data Protection Regulation，GDPR) 、 信 息 技术 安全 性 评估 通用 准则 (Common 
Criteria，CC) 。 国 内 网 络 安 全 管理 的 参考 依据 主要 是 《中 华人 民 共和 国 网 络 安全 法 》《 中 华人 
民 共和 国 密码 法 》 以 及 GB17859、GB/T22080、 网 络 安全 等 级 保护 相关 条 例 与 标准 规范 。 


1.6.4 ”网 络 信 息 安全 管理 要 素 


网 络 信息 安全 管理 要 素 由 网 络 管理 对 象 、 网 络 威胁 、 网 络 脆弱 性 、 网 络 风险 、 网 络 保护 措 
施 组 成 。 由 于 网 络 管理 对 象 自身 的 脆弱 性 , 使 得 威胁 的 发 生成 为 可 能 ， 从 而 造成 了 不 同 的 影响 ， 
形成 了 风险 。 网 络 安全 管理 实际 上 就 是 风险 控制 ， 其 基本 过 程 是 通过 对 网 络 管理 对 象 的 威胁 和 
脆弱 性 进行 分 析 ， 确 定 网 络 管理 对 象 的 价值 、 网 络 管理 对 象 威胁 发 生 的 可 能 性 、 网 络 管理 对 象 
的 脆弱 程度 ， 从 而 确定 网 络 管理 对 象 的 风险 等 级 ， 然 后 据 此 选取 合适 的 安全 保护 措施 ， 降 低 网 
络 管理 对 象 的 风险 。 网 络 安全 管理 主要 要 素 之 间 的 相互 关系 如 图 1-2 所 示 。 


希望 最 小 化 > 


可 能 意识 到 》 


(和 记 灌 用 或 破坏 


1-2 ”网 络 信息 安全 管理 要 素 关系 图 
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1. 管理 对 象 

网 络 信息 安全 管理 对 象 是 企业 、 机 构 直接 赋予 了 价值 而 需要 保护 的 资产 。 它 的 存在 形式 包 
括 有 形 的 和 无 形 的， 如 网 络 设备 硬件 、 软 件 文档 是 有 形 的 ， 而 服务 质量 、 网 络 带 宽 则 是 无 形 的 。 
表 1-1 是 常见 网 络 信息 安全 管理 对 象 分 类 。 


表 1-1 常见 网 络 信息 安全 管理 对 象 分 类 


对 象 类 型 范例 
硬件 计算 机 、 网 络 设备 、 传 输 介质 及 转换 器 、 输 入 输出 设备 、 监 控 设备 
软件 网 络 操作 系统 、 网 络 通信 软件 、 网 络 管理 软件 


存储 介质 
网 络 信息 资产 
支持 保障 系统 


2. 网 络 信息 安全 威胁 


网 络 系统 包含 各 类 不 同 资产 ， 由 于 其 所 具有 的 价值 ， 将 会 受到 不 同类 型 的 威胁 。 表 1-2 列 
举 了 网 络 系统 受到 的 非 自然 的 威胁 主体 类 型 。 


表 1-2 非 自 然 的 威胁 主体 类 型 实例 


光盘 、 硬 盘 、 软 盘 、 磁 带 、 移 动 存储 器 
网 络 人 P 地 址 、 网 络 物理 地 址 、 网 络 用 户 账号 口令、 网络 拓扑 结构 图 
消防 、 保 安 系 统 、 动 力 、 空 调 、 通 信 系统 、 厂 商 服务 系统 


威胁 主体 类 型 描 述 

国家 以 国家 安全 为 目的 ， 由 专业 信息 安全 人 员 实 现 ， 如 信息 战士 
以 安全 技术 挑战 为 目的 ， 主 要 出 于 兴趣 ， 由 具有 不 同安 全 技术 熟练 程度 的 人 

员 组 成 

恐怖 分 子 以 强迫 或 丽 吓 手段 ， 企 图 实现 不 当 愿 望 

网 络 犯罪 以 非法 获取 经 济 利益 为 目的 ， 非 法 进入 网 络 系统 ， 出 卖 信息 或 修改 信息 记录 

商业 竞争 对 手 以 市 场 竞争 为 目的 ， 主 要 是 搜集 商业 情报 或 损害 对 手 的 市 场 影响 力 

新 闻 机 构 以 收集 新 闻 信息 为 目的 ， 从 网 上 非法 获取 有 关 新 闻 事件 中 的 人 员 信 息 或 背景 
材料 


不 满 的 内 部 工作 人 员 | 以 报复 、 港 愤 为 目的 ， 破 坏 网 络 安全 设备 或 干扰 系统 运行 
粗心 的 内 部 工作 人 员 ”| 因 工 作 不 专心 或 技术 不 熟练 而 导致 网 络 系统 受到 危害 ， 如 误 配置 


根据 威胁 主体 的 自然 属性 ， 可 分 为 自然 威胁 和 人 为 威胁 。 自 然 威胁 有 地 震 、 雷 击 、 洪 水 、 
火灾 、 静 电 、 鼠 害 和 电力 故障 等 。 从 威胁 对 象 来 分 类 ， 可 分 为 物理 安全 威胁 、 网 络 通信 威胁 、 
网 络 服务 威胁 、 网 络 管理 威胁 。 


3. 网 络 信息 安全 脆弱 性 


脆弱 性 指 计算 系统 中 与 安全 策略 相 冲突 的 状态 或 错误 ， 它 将 导致 攻击 者 非 授 权 访问 、 假 冒 
用 户 执行 操作 及 拒绝 服务 。CC 标准 指出 ， 脆 弱 性 的 存在 将 会 导致 风险 ， 而 威胁 主体 利用 脆弱 
性 产生 风险 。 网 络 攻击 主要 利用 了 系统 的 脆弱 性 ， 如 拒绝 服务 攻击 主要 是 利用 资源 有 限 性 的 特 
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点 ， 攻 击 进程 长 期 占用 资源 不 释放 ， 造 成 其 他 用 户 得 不 到 应 得 的 服务 ， 使 该 服务 瘫 闪 。 
4. 网 络 信息 安全 风险 


网 络 信息 安全 风险 是 指 特定 的 威胁 利用 网 络 管理 对 象 所 存在 的 脆弱 性 ， 导 致 网 络 管理 对 象 
的 价值 受到 损害 或 丢失 的 可 能 性 。 简 单 地 说 ， 网 络 风险 就 是 网 络 威胁 发 生 的 概率 和 所 造成 影响 
的 乘积 。 网 络 安全 管理 实际 上 是 对 网 络 系统 中 网 管 对 象 的 风险 进行 控制 ， 其 方法 如 下 

。 ”避免 风险 。 例 如, 通过 物理 隔离 设备 将 内 部 网 和 外 部 网 分 开 ， 避免 受到 外 部 网 的 攻击 。 

。 ”转移 风险 。 例 如 ， 购 买 商业 保险 计划 或 安全 外 包 。 

。 ”减少 威胁 。 例 如 ， 安 装 防 病毒 软件 包 ， 防 止 病毒 攻击 。 

。 ”消除 脆弱 点 。 例 如 ， 给 操作 系统 打 补 丁 或 强化 工作 人 员 的 安全 意识 。 

。 ”减少 威胁 的 影响 。 例 如 ， 采 取 多 条 通信 线路 进行 备份 或 制定 应 急 预 案 。 

。 ”风险 监测 。 例如 ,定期 对 网 络 系 统 中 的 安全 状况 进行 风险 分 析 ， 监 测 潜在 的 威胁 行为 。 


5. 网 络 信息 安全 保护 措施 


保护 措施 是 指 为 对 付 网 络 安全 威胁 ,减少 脆弱 性 ， 限 制 意外 事件 的 影响 ,检测 意 外 事件 并 
促进 灾难 恢复 而 实施 的 各 种 实践 、 规 程 和 机 制 的 总 称 。 其 目的 是 对 网 络 管理 对 象 进行 风险 控制 。 
保护 措施 可 由 多 个 安全 机 制 组 成 ， 如 访问 控制 机 制 、 抗 病毒 软件 、 加 密 机 制 、 安 全 审计 机 制 、 
应 急 响应 机 制 〈 如 备用 电源 以 及 系统 热 备 份 ) 等 。 在 网 络 系统 中 ， 保 护 措施 一 般 实现 一 种 或 多 
种 安全 功能 ， 包 括 了 预防、 延缓、 阻止、 检测、 限制、 修正、 恢复、 监控 以 及 意识 性 提示 或 强化 。 
例如 ， 安 装 网 络 入 侵 检测 系统 设备 可 以 发 现 入侵 行 为 。 


1.6.5 ”网 络 信息 安全 管理 流程 


网 络 信息 安全 管理 一 般 遵循 如 下 工作 流程 

步骤 1， 确 定 网 络 信息 安全 管理 对 象 

步骤 2， 评 估 网 络 信息 安全 管理 对 象 的 价值 

步骤 3， 识 别 网 络 信息 安全 管理 对 象 的 威胁 ; 

步骤 4， 识别 网 络 信息 安全 管理 对 象 的 脆弱 性 ; 

步骤 5， 确定 网 络 信息 安全 管理 对 象 的 风险 级 别 ; 

步骤 6， 制定 网 络 信息 安全 防范 体系 及 防范 措施 ; 

步骤 7， 实施 和 落实 网 络 信息 安全 防范 措施 ; 

步骤 8， 运 行 /维护 网 络 信息 安全 设备 、 配 置 。 

上 述 网 络 信息 安全 管理 工作 流程 是 大 致 应 当 遵循 的 和 不 断 重复 循环 的 过 程 , 也 是 安全 需求 
不 断 提炼 的 过 程 。 在 实施 网 络 信息 安全 管理 中 ， 根 据 不 同 级 别 的 网 络 风 险 进 行 分 级 管理 ， 选 择 
适合 级 别 的 安全 防范 措施 ， 然 后 贯彻 落实 安全 管理 相关 的 工作 ， 如 安全 策略 执行 、 安 全 设备 运 
行 、 安 全 配置 更 新 、 资 源 访问 与 授权 、 安 全 事件 应 急 处 理 等 。 网 络 信息 安全 管理 重 在 过 程 ， 若 
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将 网 络 信息 系统 比喻 成 一 个 生命 系统 ， 则 网 络 信息 安全 管理 应 该 贯穿 于 网 络 信息 系统 的 整个 生 
命 周期 ， 如 表 1-3 所 示 。 


表 1-3 网 络 信息 安全 管理 系统 在 生命 周期 中 提供 的 支持 
生命 周期 生命 周期 
阶段 序号 阶段 名 称 网 络 安全 管理 活动 
。 网 络 信息 安全 风险 评估 
。 标识 网 络 信息 安全 目标 
e 标识 网 络 信息 安全 需求 
。 标识 信息 安全 风险 控制 方法 
。 权衡 网 络 信息 安全 解决 方案 
。 设计 网 络 信息 安全 体系 结构 
。 购买 和 部 署 安全 设备 或 产品 
。 网 络 信息 系统 的 安全 特性 应 该 被 配置 、 激 活 
。 网 络 安全 系统 实现 效果 的 评价 
。 验证 是 否 能 满足 安全 需求 
。 检查 系统 所 运行 的 环境 是 否 符合 设计 
。 建立 网 络 信息 安全 管理 组 织 
。 制定 网 络 信息 安全 规章 制度 
。 定期 重新 评估 网 络 信息 管理 对 象 
。 适时 调整 安全 配置 或 设备 
。 发现 并 修补 网 络 信息 系统 的 漏洞 
。 威胁 监测 与 应 急 处 理 
。 对 要 蔡 换 或 废弃 的 网 络 系 统 组 件 进行 风险 评估 
。 废弃 的 网 络 信息 系统 组 件 安全 处 理 
e 网 络 信息 系统 组 件 的 安全 更 新 


阶段 1 网 络 信息 系统 规划 


阶段 2 网 络 信息 系统 设计 


阶段 3 | 网 络 信息 系统 集成 实现 


阶段 4 ”| 网 络 信息 系统 运行 和 维护 


阶段 5 | 网 络 信息 系统 废弃 


1.6.6 ”网 络 信息 安全 管理 工具 


网 络 信息 安全 管理 涉及 的 管理 要 素 繁多 ,单独 依赖 人 工 难以 满足 网 络 信息 系统 的 安全 保障 
要 求 。 为 此 ， 网 络 信息 安全 管理 人 员 通 常会 借助 相应 的 工具 对 目标 系统 进行 有 效 地 管理 。 常 见 
的 网 络 安全 管理 工具 有 网 络 安全 管理 平台 (简称 SOC) 、IT 资产 管理 系统 、 网 络 安全 态势 感知 
系统 、 网 络 安全 漏洞 扫描 器 、 网 络 安全 协议 分 析 器 、 上 网 行为 管理 等 各 种 类 型 。 


1.6.7 ”网 络 信息 安全 管理 评估 


网 络 信息 安全 管理 评估 是 指 对 网 络 信息 安全 管理 能 力 及 管理 工作 是 否 符合 规范 进行 评价 。 
常见 的 网 络 信息 安全 管理 评估 有 网 络 安全 等 级 保护 测评 、 信 息 安 全 管理 体系 认证 (简称 ISMS)、 
系统 安全 工程 能 力 成 熟 度 模 型 〈 简 称 SSE-CMM) 等 。 其 中 ， 网 络 安全 等 级 保护 测评 依据 网 络 
安全 等 级 保护 规范 对 相应 级 别 的 系统 进行 测评 ; 信息 安全 管理 体系 认证 主要 依据 GB/T22080、 
ISO/TEC27001 标准 ， 通 过 应 用 风险 管理 过 程 来 保持 信息 的 保密 性 、 完 整 性 和 可 用 性 ， 并 为 相关 
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方 树立 风险 得 到 充分 管理 的 信心 ; SSE-CMM 主要 通过 组 织 过 程 、 工 程 过 程 、 项 目 过 程 等 来 实 
现 对 系统 安全 能 力 的 评价 。 


1.7 网络 信息 安全 法 律 与 政策 文件 


网 络 信息 安全 法 律 与 政策 主要 有 国家 安全 、 网 络 安全 战略 、 网 络 安全 保护 制度 、 密 码 管理 、 
技术 产品 、 域 名 服务 、 数 据 保 护 、 安 全 测评 等 各 个 方面 。 


1.7.1 网 络 信息 安全 基本 法 律 与 国家 战略 


网 络 信息 安全 基本 法 律 与 国家 战略 主要 有 《中 华人 民 共 和 国 国家 安全 法 》、《 中 华人 民 共 
和 国 网 络 安全 法 》【〔 以 下 简称 网 络 安全 法 ) 、《 全 国人 民 代表 大 会 常务 委员 会 关于 加 强 网 络 信 
息 保护 的 决定 》、《 国 家 网 络 空间 安全 战略 》、《 网 络 空间 国际 合作 战略 》 等 。 其 中 ， 网 络 安 
全 法 是 国家 网 络 空间 安全 管理 的 基本 法 律 ， 框 架 性 地 构建 了 许多 法 律 制度 和 要 求 ， 重 点 包括 网 
络 信息 内 容 管 理 制 度 、 网 络 安全 等 级 保护 制度 、 关 键 信息 基础 设施 安全 保护 制度 、 网 络 安全 审 
查 、 个 人 信息 和 重要 数据 保护 制度 、 数 据 出 境 安全 评估 、 网 络 关键 设备 和 网 络 安全 专用 产品 安 
全 管理 制度 、 网 络 安全 事件 应 对 制度 等 。 

与 网 络 安全 法 配套 的 一 系列 法 律 也 相继 出 台 ,《 关 键 信息 基础 设施 保护 条 例 ( 征 求 意 见 稿 )》 
《网 络 安全 等 级 保护 条 例 〈 征 求 意见 稿 ) 》 都 已 经 发 布 。《 中 华人 民 共 和 国 密码 法 》 《以 下 简 
称 密码 法 ) 也 于 2020 年 1 月 1 日 起 实施 。 


1.7.2 网络 安全 等 级 保护 


网 络 安全 法 第 二 十 一 条 规定 ， 国 家 实行 网 络 安 全 等 级 保护 制度 。 按 照 规定 要 求 ， 网 络 运 营 
者 应 当 按 照 网 络 安全 等 级 保护 制度 的 要 求 ， 履 行 下 列 安全 保护 义务 ， 保 障 网 络 免 受 干扰 、 破 坏 
或 者 未 经 授权 的 访问 ， 防 止 网 络 数据 泄露 或 者 被 窃取 、 自 改 。 其 中 ， 所 规定 的 网 络 安全 保护 义 
务 如 下 : 

。 ”制定 内 部 安全 管理 制度 和 操作 规程 ， 确 定 网 络 安全 负责 人 ， 落 实 网 络 安全 保护 责任 ; 

。 ”采取 防范 计算 机 病毒 和 网 络 攻击 、 网 络 侵入 等 危害 网 络 安全 行为 的 技术 措施 ; 

。 采取 监测 、 记 录 网 络 运行 状态 、 网 络 安全 事件 的 技术 措施 ， 并 按照 规定 留存 相关 的 网 

络 日 志 不 少 于 六 个 月 ; 

。 ”采取 数据 分 类 、 重 要 数据 备份 和 加 密 等 措施 ; 

。 ”法 律 、 行 政法 规 规定 的 其 他 义务 。 

网 络 安全 等 级 保护 的 主要 工作 可 以 概括 为 定 级 、 备 案 、 建 设 整改 、 等 级 测评 、 运 营 维护 。 
其 中 ， 定 级 工作 是 确认 定 级 对 象 ， 确 定 合适 级 别 ， 通 过 专家 评审 和 主管 部 门 审核 ， 备 案 工 作 是 
按 等 级 保护 管理 规定 准备 备案 材料 ， 到 当地 公安 机 关 备案 和 审核 ， 建设 整 改 工 作 是 指 依据 相应 
等 级 要 求 对 当前 保护 对 象 的 实际 情况 进行 差距 分 析 ， 针 对 不 符合 项 结合 行业 要 求 对 保护 对 象 进 
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行 整改 ， 建 设 符合 等 级 要 求 的 安全 技术 和 管理 体系 ; 等 级 测评 工作 是 指 等 级 保护 测评 机 构 依 据 
相应 等 级 要 求 ， 对 定 级 的 保护 对 象 进行 测评 ， 并 出 具 相 应 的 等 级 保护 测评 证 书 ; 运营 维护 工作 
是 指 等 级 保护 运营 主体 按照 相应 等 级 要 求 ， 对 保护 对 象 的 安全 相关 事宜 进行 监督 管理 。 
网 络 安全 等 级 保护 主要 技术 标准 规范 如 下 : 
《信息 安全 技术 网 络 安全 等 级 保护 基本 要 求 》; 
《信息 安全 技术 网 络 安全 等 级 保护 安全 设计 技术 要 求 》; 
《信息 安全 技术 网 络 安 全 等 级 保护 实施 指南 》; 
《信息 安全 技术 网 络 安全 等 级 保护 测评 过 程 指南 》; 
《信息 安全 技术 网 络 安全 等 级 保护 测试 评估 技术 指南 》; 
《信息 安全 技术 网 络 安全 等 级 保护 测评 要 求 》。 


1.73 


国家 密码 管理 制度 


根据 密码 法 ， 国 家 密码 管理 部 门 负责 
门 负责 管理 本 行政 区 域 的 密码 工作 。 国 家 密码 管理 相关 法 律 政策 如 表 1-4 所 示 。 


表 1-4 国家 密码 管理 相关 法 律 政策 


aluls|» 
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1.7.4 


管理 全 国 的 密码 工作 ， 县 级 以 上 地 方 各 级 密码 管理 部 


文件 名 称 发 布 机 构 生效 时 间 法 律 状态 

a 全 国人 民 代 表 大 会 
《中 华人 民 共 和 国 密码 法 》 2020-1-1 现行 有 效 
《商用 密码 管理 条 例 》 入 证人 开关 和 国 国 | 1999-10.7 | 现行 有 效 
《商用 密码 科研 管理 规定 》 国家 密码 管理 局 2006-1-1 现行 有 效 
《商用 密码 产品 生产 管理 规定 》 国家 密码 管理 局 2006-1-1 现行 有 效 
《商用 密码 产品 销售 管理 规定 》 国家 密码 管理 局 2006-1-1 现行 有 效 
《商用 密码 产品 使 用 管理 规定 》 国家 密码 管理 局 2007-5-1 现行 有 效 

纪 Nv In 

人 国家 密码 管理 局 2007-5-1 现行 有 效 
《信息 安全 等 级 保护 商用 密码 管理 办 法 》 | 国家 密码 管理 局 2008-1-1 现行 有 效 
《信息 安全 等 级 保护 商用 密码 管理 办 法 二 
实施 意见 》 国家 密码 管理 局 2009-12-15 ”| 现行 有 效 
Me le Sls 国家 密码 管理 局 。 | 2009-12-15 | 现行 有 效 
网 络 产品 和 服务 审查 


为 提高 网 络 产品 和 服务 的 安全 可 控 水 平 ， 防 范 网 络 安全 风险 ， 维 护 国家 安全 ， 依 据 《中 华 
人 民 共 和 国 国家 安全 法 》《 中 华人 民 共 和 


产品 和 服 


家 安全 风险 ， 主 要 包括 : 


国 网 络 安 全 法 》 等 法 律 法 规 ， 有 关 部 门 制定 了 《网 络 


务 安全 审查 办 法 》。 其 中 ， 网 络 安全 审查 如 


点 评估 采购 网 络 产品 和 服务 可 能 带 来 的 国 
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。 ”产品 和 服务 使 用 后 带 来 的 关键 信息 基础 设施 被 非法 控制 、 遭 受 干 扰 或 破坏 ， 以 及 重要 

数据 被 窃取 、 泄 露 、 毁 损 的 风险 ; 

。 ”产品 和 服务 供应 中 断 对 关键 信息 基础 设施 业务 连续 性 的 危害 ; 

。 ”产品 和 服务 的 安全 性 、 开 放 性 、 透 明 性 、 来 源 的 多 样 性 ， 供 应 渠道 的 可 靠 性 以 及 因为 

政治 、 外 交 、 贸 易 等 因素 导致 供应 中 断 的 风险 ; 

。 产品 和 服务 提供 者 遵守 中 国法 律 、 行 政法 规 、 部 门 规章 情况 ; 

。 ”其 他 可 能 危害 关键 信息 基础 设施 安全 和 国家 安全 的 因素 。 

中 国 网 络 安全 审查 技术 与 认证 中 心 (CCRC， 原 中 国信 息 安 全 认证 中 心 ) 是 负责 实施 网 络 
安全 审查 和 认证 的 专门 机 构 。 网 络 产 品 和 服务 安全 相关 标准 规范 主要 有 《信息 安全 技术 网 络 
产品 和 服务 安全 通用 要 求 〈 征 求 意见 稿 ) 》 《信息 安全 技术 信息 技术 产品 安全 检测 机 构 条 件 
和 行为 准则 》《 信 息 安全 技术 信息 技术 产品 安全 可 控 评 价 指标 〈 第 1 一 5 部 分 ) 》。 有 目前， 中 
国 网 络 安全 审查 技术 与 认证 中 心 已 经 发 布 了 《网 络 关 键 设 备 和 网 络 安全 专用 产品 目录 》， 主 要 
包括 网 络 关键 设备 和 网 络 安全 专用 产品 。 其 中 ， 网 络 关键 设备 有 路 由 器 、 交 换 机 、 服 务 器 〈 机 
架 式 ) 、 可 编程 逻辑 控制 器 (PLC 设备 ) 等 ; 网 络 安全 专用 产品 有 数据 备份 一 体 机 、 防 火 墙 ( 硬 
件 ) 、WEB 应 用 防火 墙 (WAF) 、 入 侵 检测 系统 (IDS) 、 入 侵 防御 系统 (IPS) 、 安 全 隔离 
与 信息 交换 产品 〈 网 闸 ) 、 反 垃圾 邮件 产品 、 网 络 综合 审计 系统 、 网 络 脆弱 性 扫描 产品 、 安 全 
数据 库 系 统 、 网 站 恢复 产品 〈 硬 件 ) 。 


1.7.5 网络 安全 产品 管理 


网 络 安全 产品 管理 主要 是 由 测评 机 构 按照 相关 标准 对 网 络 安全 产品 进行 测评 ， 达 到 测评 要 
求 后 ， 给 出 产品 合格 证 书 。 目 前 ， 国 内 网 络 安全 产品 测评 机 构 主要 有 国家 保密 科技 测评 中 心 、 
中 国信 息 安 全 认证 中 心 、 国 家 网 络 与 信息 系统 安全 产品 质量 监督 检验 中 心 、 公 安 部 计算 机 信息 
系统 安全 产品 质量 监督 检验 中 心 等 。 网 络 安全 产品 测评 相关 标准 参见 附录 A。 国 际 上 的 网 络 安 
全 产品 测评 标准 主要 有 ISO/ITEC 15408。 


1.7.6 互联 网 域名 安全 管理 


域名 服务 是 网 络 基础 服务 。 该 服务 主要 是 指 从 事 域 名 根 服务 器 运行 和 管理 、 顶 级 域名 运行 和 
管理 、 域 名 注册 、 域 名 解析 等 活动 。《 互 联网 域名 管理 办 法 》 第 四 十 一 条 规定 ， 域 名 根 服务 器 运 
行 机 构 、 域 名 注册 管理 机 构 和 域名 注册 服务 机 构 应 当 遵守 国家 相关 法 律 、 法 规 和 标准 ， 落 实 网 络 
与 信息 安全 保障 措施 ， 配 置 必 要 的 网 络 通信 应 急 设备 ， 建 立 健全 网 络 与 信息 安全 监测 技术 手段 和 
应 急 制 度 。 域 名 系统 出 现 网 络 与 信息 安全 事件 时 ， 应 当 在 24 小 时 内 向 电信 管理 机 构 报告 。 

域名 是 政府 网 站 的 基本 组 成 部 分 和 重要 身份 标识 。《 国 务 院 办 公 厅 关于 加 强 政府 网 站 域名 
管理 的 通知 》《〈 国 办 函 (2018) 55 号 ) 要 求 加 强 域名 解析 安全 防护 和 域名 监测 处 置 。 要 积极 采 
取 域 名 系统 (DNS) 安全 协议 技术 、 抗 攻击 技术 等 措施 ， 防 止 域名 被 动 持 、 被 冒 用 ， 确 保 域名 
解析 安全 。 应 委托 具有 应 急 灾 备 、 抗 攻击 等 能 力 的 域名 解析 服务 提供 商 进行 域名 解析 ， 鼓 励 对 
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政府 网 站 域名 进行 集中 解析 。 自 行 建设 运 维 的 政府 网 站 服务 器 不 得 放 在 境外 ， 租 用 网 络 虚 拟 空 
间 的 ， 所 租用 的 空间 应 当 位 于 服务 商 的 境内 节点 。 使 用 内 容 分 发 网 络 (CDN) 服务 的 ， 应 当 要 
求 服务 商 将 境内 用 户 的 域名 解析 地 址 指向 其 境内 节点 ， 不 得 指向 境外 节点 。 

1.7.7 工业 控制 信息 安全 制度 


针对 工业 控制 信息 安全 , 国家 相关 部 门 出 台 了 一 系列 相关 的 法 规 和 标准 来 指导 和 规范 工控 
信息 安全 ， 如 表 1-5 所 示 。 


表 1-5 工业 控制 信息 安全 相关 政策 文件 及 标准 规范 
文件 名 称 发 布 机 构 及 文件 编号 

《关于 加 强 工 业 控 制 系统 信息 安全 管理 的 通知 》 工信部 协 (2011) 451 号 
《工业 控制 系统 信息 安全 防护 指南 》 工信部 信 软 (2016) 338 号 
《工业 控制 系统 信息 安全 事件 应 急 管理 工作 指南 》 工信部 信 软 (2017) 122 号 
《工业 控制 系统 信息 安全 防护 能 力 评估 工作 管理 办 法 》 工信部 信 软 (2017) 188 号 
中 华人 民 共和 国 国家 发 展 和 改革 
委员 会 令 第 14 号 
国 能 安全 (2015) 36 号 
国家 电力 监管 委员 会 令 第 5 号 
全 国电 力 监管 标准 化 技术 委员 会 
全 国电 力 监管 标准 化 技术 委员 会 

《烟草 工业 企业 生产 网 与 管理 网 网 络 互联 安全 规范 》 全 加 用 夺标 省 化 族 信 委员会 休 尽 


分 技术 委员 会 
1.7.8 个 人 信息 和 重要 数据 保护 制度 
国家 针对 个 人 信息 和 重要 数据 保护 的 相关 政策 文件 及 标准 规范 ， 如 表 1-6 所 示 。 
表 1-6 ”个 人 信息 和 重要 数据 保护 政策 文件 及 标准 规范 


《电力 监控 系统 安全 防护 规定 》 


编号 文件 名 称 发 布 机 构 

1 | 《不 人 信息 和 各 要 数据 出 境 安全 评估 办 法 《征求 意见 稿 》 | 国家 互联 网 信息 办 公 室 

2 | 《信息 安全 技术 个 人 信息 安全 规范 》 二 
3 ”| 《信息 安全 技术 个 人 信息 去 标识 化 指南 》 二 
4 | 《信息 安全 技术 公共 及 商用 服务 信息 系统 个 人 信息 保护 指南 》 A 
5 。 | 《信息 安全 技术 数据 出 境 安全 评估 指南 (征求 意见 稿 ) 》 ne 
6 《科学 数据 管理 办 法 》 国 办 发 (2018) 17 号 

7 | 《数据 安全 管理 办 法 征求 意见 稿 ”》 国家 互联 网 信息 办 公 室 
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1.7.9 网 络 安全 标准 规范 与 测评 


全 国信 息 安全 标准 化 技术 委员 会 是 从 事 信 息 安 全 标准 化 工作 的 技术 工作 组 织 。 委员 会 负责 
组 织 开展 国内 信息 安全 有 关 的 标准 化 技术 工作 ， 技 术 委 员 会 主要 工作 范围 包括 安全 技术 、 安 全 
机 制 、 安 全 服务 、 安 全 管理 、 安 全 评估 等 领域 的 标准 化 技术 工作 。 全 国信 息 安全 标准 化 技术 委 
员 会 的 网 址 是 www.te260.org.cn。 


1.7.10 ”网 络 安全 事件 与 应 急 响 应 制度 


网 络 安 全 事件 相关 政策 文件 及 标准 规范 主要 如 下 : 

。 《国家 网 络 安全 事件 应 急 预 案 》; 

。 《工业 控制 系统 信息 安全 事件 应 急 管理 工作 指南 》; 

。 《信息 安全 技术 网 络 攻 击 定义 及 描述 规范 》; 

。 《信息 安全 技术 网 络 安全 事件 应 急 演练 通用 指南 》; 

。 《信息 安全 技术 网 络 安全 威胁 信息 格式 规范 》。 

国家 计算 机 网 络 应 急 技术 处 理 协调 中 心 (简称 “国家 互联 网 应 急 中 心 ”， 英 文 缩写 为 
CNCERT 或 CNCERT/CC) 是 中 国 计 算 机 网 络 应 急 处 理 体系 中 的 牵头 单位 , 是 国家 级 应 急 中 心 。 
CNCERT 的 主要 职责 是 : 按照 “积极 预防 、 及 时 发 现 、 快 速 响应 、 力 保 恢复 ”的 方针 ， 开 展 互 
联网 网 络 安全 事件 的 预防 、 发 现 、 预 警 和 协调 处 置 等 工作 ， 维 护 公 共 互 联网 安全 ， 保 障 关键 信 
息 基础 设施 的 安全 运行 。 


1.8 网 络 信息 安全 科技 信息 获取 


网 络 信息 安全 科技 信息 获取 来 源 主要 有 网 络 安全 会 议 、 网 络 安全 期 刊 、 网 络 安全 网 站 、 网 
络 安 全 术语 等 。 下 面 分 别 站 述 常见 的 网 络 信息 安 全 科技 信息 来 源 。 


1.8.1 网 络 信息 安全 会 议 


网 络 信息 安全 领域 “四 大 ”顶级 学 术 会 议 是 S&P、CCS、NDSS、USENIX Security。 其 中 
USENIX Security 被 中 国 计 算 机 学 会 (CCF ) 归 为 “网 络 与 信息 安全 ”A 类 会 议 ( 共 分 为 A、B、 
C 三 类 , A 类 最 佳 ) 。 除 此 之 外 ，CCEF 推荐 的 “网 络 与 信息 安全 ” B 类 会 议 有 Annual Computer 
Security Applications Conference、International Symposium on Recent Advances in Intrusion 
Detection 等 。 
国外 知名 的 网 络 安全 会 议 主要 有 RSA Conference、DEF CON、Black Hat。 其 中 ，RSA 
Conference 已 经 创办 了 30 年 。 
国内 知名 的 网 络 安全 会 议 主要 有 中 国 网 络 安全 年 会 、 互 联网 安全 大 会 〈 简 称 ISC) 、 信 息 
安全 漏洞 分 析 与 风险 评估 大 会 。 其 中 ,ISC 创办 于 2013 年 ， 其 议题 主要 有 网 络 安全 治理 政策 、 
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网 络 安全 法 律 、 工 业 控制 安全 、 漏 洞 挖掘 、 人 工 智能 安全 、 安 全 大 数据 、 关 键 信息 基础 设施 保 
护 、 电 子 取证 等 各 个 方面 。 


1.8.2 网络 信息 安全 期 刊 


网 络 信息 安全 国际 期 刊 主要 有 IEEE Transactions on Dependable and Secure Computing、 
IEEE Transactions on Information Forensics and Security 、Journal of Cryptology、 ACM 
Transactions on Privacy and Security、 Computers & Security 等 。 

内 网 络 信息 安全 相关 期 刊 主 要 有 《软件 学 报 》《 计 算 机 研究 与 发 展 》《 中 国 科学 : 信息 
科学 》《 电 子 学 报 》《 自 动 化 学 报 》《 通 信 学 报 》《 信 息 安 全 学 报 》《 密 码 学 报 》《 网 络 与 信 
息 安全 学 报 》 等 。 


1.8.3 ”网 络 信息 安全 网 站 


网 络 信息 安全 网 站 的 主要 类 型 有 网 络 安全 政府 职能 部 门 、 网 络 安全 应 急 响 应 组 织 、 网 络 安 
全 公司 、 网 络 安全 技术 组 织 等 。 计 算 机 安全 应 急 响 应 组 (CERT) 、 开 放 Web 应 用 程序 安全 项 
目 (OWASP) 、 网 络 安全 会 议 Black Hat 等 国际 组 织 的 网 站 上 会 提供 各 种 类 型 的 网 络 信息 安全 
服务 。 国 内 网 络 安全 网 址 主要 有 网 络 安全 政府 部 门 网 站 、 网 络 安全 厂商 网 站 、 网 络 安全 标准 化 
组 织 网 站 等 。 


1.8.4 网 络 信息 安全 术语 


网 络 信息 安全 术语 是 获取 网 络 安全 知识 和 技术 的 重要 途径 ， 常 见 的 网 络 安全 术语 可 以 分 成 
基础 技术 类 、 风 险 评估 技术 类 、 防 护 技术 类 、 检 测 技术 类 、 响 应 /恢复 技术 类 、 测 评 技术 类 等 。 
下 面 主要 介绍 常见 的 网 络 安全 技术 方面 的 术语 及 其 对 应 的 英文 。 


1. 基础 技术 类 


基础 技术 类 术语 常见 的 是 密码 。 国 家 密码 管理 局 发 布 GM/Z0001 一 2013《 密 码 术 语 》。 常 
见 的 密码 术语 如 加 密 (Cencryption)、 解 密 (decryption)、 非 对 称 加 密 算 法 (asymmetric cryptographic 
algorithm) 、 公 钥 加 密 算 法 (public key cryptographic algorithm ) 、 公 钥 (public key) 等 。 


2. 风险 评估 技术 类 


风险 评估 技术 类 术语 包括 拒绝 服务 (Denial of Service)、 分 布 式 拒 绝 服务 (Distributed Denial 
of Service)、 网 页 算 改 (Website Distortion)、 网 页 仿冒 (Phishing)、 网 页 挂 马 (Website Malicious 
Code) 、 域 名 劫持 (DNS Hijack) 、 路 由 劫持 (Routing Hijack) 、 垃 圾 邮件 Spam) 、 恶 意 代 
码 (Malicious Code) 、 特 洛 伊 木马 (Trojan Horse) 、 网 络 蠕虫 (Network Worm) 、 僵 尸 网 
络 (BotNet) 等 。 
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3. 防护 技术 类 


防护 技术 类 术语 包括 访问 控制 (Access Control)、 防 火 墙 (Firewall)、 入 侵 防 御 系 统 (Intrusion 
Prevention System) 等 。 


4. 检测 技术 类 

检测 技术 类 术语 包括 入 侵 检测 Intrusion Detection) 、 漏 洞 扫 描 〈Vulnerability Scanning) 等 。 

$5. 响应 /恢复 技术 类 

响应 /恢复 技术 类 术语 包括 应 急 响 应 (Emergency Response)、 灾 难 恢复 (Disaster Recovery) 、 
备份 (Backup) 等 。 

6. 测评 技术 类 


测评 技术 类 术语 包括 黑 盒 测 试 (Black Box Testing) 、 白 盒 测试 (White Box Testing) 、 灰 
盒 测试 (Gray Box Testing) 、 渗 透 测试 (Penetration Testing) 、 模 糊 测试 (Fuzz Testing) 。 


1.9 本 章 小 结 


本 章 内 容 主 要 包括 : 第 一 ， 阐 述 了 网 络 空间 以 及 网 络 信息 安全 的 基本 概念 ， 分 析 了 网 络 信 
息 安全 的 现状 和 问题 ; 第 二 ， 讲 述 了 网 络 信息 安全 基本 属性 、 网 络 信息 安全 基本 目标 、 网 络 信 
息 安全 基本 功能 等 相关 内 容 ; 第 三 ， 分 析 了 网 络 信息 安全 基本 技术 需求 ， 给 出 了 网 络 信息 安全 
管理 概念 、 要 素 、 流 程 、 方 法 等 ; 第 四 ， 介 绍 了 网 络 信息 安全 法 律 与 政策 文件 ， 主 要 包括 网 络 
信息 安全 基本 法 律 、 网 络 安全 等 级 保护 、 国 家 密码 管理 制度 、 网 络 产品 和 服务 审查 、 互 联网 域 
名 安全 管理 、 工 业 控制 信息 安全 制度 、 个 人 信息 和 重要 数据 保护 制度 等 ， 第 五 ， 给 出 网 络 信息 
安全 科技 信息 获取 来 源 ， 介 绍 网 络 安全 会 议 、 期 刊 、 网 络 及 相关 术语 等 。 
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2.1 网 络 攻击 概述 


《孙子 兵法 》 日 : “知己 知 彼 ， 百 战 不 殖 。” 网 络 攻击 活动 日 益 频繁 ， 要 掌握 网 络 信息 安 
全 主动 权 ， 应 先 了 解 网 络 威胁 者 的 策略 方法 。 本 节 主 要 阐述 网 络 攻击 概念 ， 分 析 网 络 攻击 发 展 
趋势 。 


2.1.1 网络 攻击 概念 


网 络 攻击 是 指 损害 网 络 系统 安全 属性 的 危害 行为 。 危 害 行为 导致 网 络 系统 的 机 密 性 、 完 整 
性 、 可 用 性 、 可 控 性 、 真 实 性 、 抗 抵赖 性 等 受到 不 同 程度 的 破坏 。 常 见 的 危害 行为 有 四 个 基本 
类 型 : 

(1) 信息 泄露 攻击 ; 

(2) 完整 性 破坏 攻击 ; 

(3) 拒绝 服务 攻击 ; 

(4) 非法 使 用 攻击 。 

网 络 攻击 由 攻击 者 发 起 ， 攻 击 者 应 用 一 定 的 攻击 工具 〈 包 括 攻击 策略 与 方法 ) ， 对 目标 网 
络 系统 进行 〈 合 法 与 非法 的 ) 攻击 操作 ， 达 到 一 定 的 攻击 效果 ， 实 现 攻 击 者 预定 的 攻击 意图 ， 
如 表 2-1 所 示 。 


表 2-1 网 络 攻击 原理 表 

攻击 者 攻击 意图 
黑客 
间谍 
恺 怖 主义 者 获取 情报 
公司 职员 经 济 利益 
职业 犯罪 分 子 丽 怖 事件 
破坏 者 


1. 攻击 者 


根据 网 络 攻击 来 源 ， 攻 击 者 可 分 成 两 大 类 : 内 部 人 员 和 外 部 人 员 。 根 据 网 络 攻击 的 动机 与 
目的 ， 常 见 的 攻击 者 可 以 分 为 六 种 : 间谍 、 疏 怖 主义 者 、 黑 客 、 职 业 犯 罪 分 子 、 公 司职 员 和 破 
坏 者 。 
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2. 攻击 工具 


攻击 者 通过 一 系列 攻击 工具 ， 对 目标 网 络 实施 攻击 ， 具 体 包括 : 

。 ”用 户 命令 : 攻击 者 在 命令 行 状态 下 或 者 以 图 形 用 户 接口 方式 输入 攻击 命令 ; 
。 ”脚本 或 程序 ， 利用 脚本 和 程序 挖掘 弱点 ; 

。 自治 主体 : 攻击 者 初始 化 一 个 程序 或 者 程序 片断 ， 独 立 执行 漏洞 挖掘 ; 

。 ”电磁 泄漏 : 通过 电子 信号 分 析 方 法 ， 实 施 电磁 泄漏 攻击 。 


3. 攻击 访问 


攻击 者 为 了 达到 攻击 目的 ， 一 定 要 访问 目标 网 络 系统 ， 包 括 合 法 和 非法 的 访问 。 但 是 ， 攻 
击 过 程 主要 依赖 于 非法 访问 和 目标 网 络 资源 的 使 用 ， 即 未 授权 访问 或 未 授权 使 用 目标 系统 的 资 
源 。 攻 击 者 能 够 进行 未 授权 访问 和 系统 资源 使 用 的 前 提 是 ， 目 标 网 络 和 系统 存在 安全 弱点 ， 包 
括 设计 弱点 、 实 现 弱 点 和 配置 弱点 。 进 入 目标 系统 之 后 ， 攻 击 者 就 开始 执行 相关 命令 ， 如 修改 
文件 、 传 送 数据 等 ， 实 施 各 类 不 同 的 攻击 。 


4. 攻击 效果 


攻击 效果 包括 以 下 几 种 : 

。 ”破坏 信息 : 删除 或 修改 系统 中 存储 的 信息 或 者 网 络 中 传送 的 信息 ; 

。 “信息 泄密 : 窃取 或 公布 敏感 信息 ; 

。 窃取 服务 : 未 授权 使 用 计算 机 或 网 络 服务 ; 

。 拒绝 服务 : 干扰 系统 和 网 络 的 正常 服务 ， 降 低 系统 和 网 络 性 能 ， 甚 至 使 系统 和 网 络 
半 溃 。 


S. 攻击 意图 


攻击 者 的 意图 可 分 为 以 下 六 类 : 

。 黑客: 攻击 的 动机 与 目的 是 表现 自己 或 技术 挑战 ; 

。 ”间谍 : 攻击 的 动机 与 目的 是 获取 情报 信息 

。 恐怖 主义 者 : 攻击 的 动机 与 目的 是 获取 恐怖 主义 集团 的 利益 ; 
。 ”公司 职员 : 攻击 的 动机 与 目的 是 好 奇 ， 显 示 才干 ; 

。 ”职业 犯罪 分 子 : 攻击 的 动机 与 目的 是 获取 经 济 利益 ; 

。 ”破坏 者 :攻击 的 动机 与 目的 是 报复 或 发 泄 不 满 情绪 。 


2.1.2 ”网 络 攻击 模型 


掌握 网 络 攻击 模型 有 助 于 更 好 地 理解 分 析 网 络 攻击 活动 ， 以 便 对 目标 系统 的 抗 攻击 能 力 进 
行 测评 。 目 前 ， 常 见 的 网 络 攻击 模型 主要 如 下 。 
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1. 攻击 树 模型 


攻击 树 方法 起 源 于 故障 树 分 析 方法 。 故 障 树 分 析 方 法 主要 用 于 系统 风险 分 析 和 系统 可 靠 性 
分 析 ， 后 扩展 为 软件 故障 树 ， 用 于 辅助 识别 软件 设计 和 实现 中 的 错误 。Schneier 首先 基于 软件 
故障 树 方法 提出 了 攻击 树 的 概念 ， 用 AND-OR 形式 的 树 结构 对 目标 对 象 进行 网 络 安全 威胁 分 
析 。 例 如 ， 侵 害 路 由 器 攻击 树 描述 如 下 。 


Attack: 
OR 1. Gain physical access to router 
AND 1. Gain physical access to data center 
2. Guess passwords 
OR 3. Perform password recovery 
2. Gain logical access to router 
OR 1. Compromise network manager system 
OR 1. Exploit application layer vulnerability in server 
2. Hijack management traffic 
2. Login to router 
OR 1. Guess password 
2. Sniff password 
3. Hijack management session 
OR 1. Telnet 
2. SSH 
3. SNMP 
4. Social engineering 
3. Exploit implementation flaw in protocol/application in router 
OR 1. Telnet 
SSH 
。 SNMP 


心 w DN 


。 Proprietary management protocol 


攻击 树 方法 可 以 被 Red Team 用 来 进行 渗透 测试 ， 同 时 也 可 以 被 Blue Team 用 来 研究 防御 
机 制 。 攻 击 树 的 优点 : 能 够 采取 专家 头脑 风暴 法 ， 并 且 将 这 些 意见 融合 到 攻击 树 中 去 ， 能 够 进 
行 费 效 分 析 或 者 概率 分 析 ; 能 够 建 模 非 常 复杂 的 攻击 场景 。 攻 击 树 的 缺点 : 由 于 树 结构 的 内 在 
限制 ， 攻 击 树 不 能 用 来 建 模 多 重 尝 试 攻击 、 时 间 依赖 及 访问 控制 等 场景 ， 不 能 用 来 建 模 循环 事 
件 ， 对 于 现实 中 的 大 规模 网 络 ， 攻 击 树 方法 处 理 起 来 将 会 特别 复杂 。 
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2. MITRE ATT&CK 模型 


MITRE 根据 真实 观察 到 的 网 络 攻击 数据 提炼 形成 攻击 矩阵 模型 MITRE ATT&CK， 该 模 
型 把 攻击 活动 抽象 为 初始 访问 (Initial Access) 、 执 行 (Execution) 、 持 久 化 (Persistence) 、 
特权 提升 (Privilege Escalation )、 躲 避 防 御 (Defense Evasion)、 和 凭据 访问 (Credential Access) 、 
发 现 (Discovery)、 横 向 移动 (Lateral Movement) 、 收集 (Collection) 、 指挥 和 控制 (Command 
and Control) 、 外 泄 〈Exfiltration) 、 影 响 〈Impact) ， 然 后 给 出 攻击 活动 的 具体 实现 方式 ， 详 
见 MITRE 官方 地 址 链接 。 基 于 MITRE ATT&CK 常见 的 应 用 场景 主要 有 网 络 红 蓝 对 抗 模拟 、 
网 络 安全 渗透 测试 、 网 络 防御 差距 评估 、 网 络 威胁 情报 收集 等 。 


3. 网 络 杀伤 链 (Kl Chain) 模型 


洛克 希 德 。 马 丁 公司 提出 的 网 络 杀伤 链 模 型 〈 简 称 Kil Chain 模型 ) ， 该 模型 将 网 络 攻击 
活动 分 成 目标 侦察 (Reconnaissance) 、 武 器 构造 (Weaponization) 、 载 荷 投 送 (Delivery) 、 
漏洞 利用 〈Exploitation) 、 安 装 植 入 (Installation) 、 指 挥 和 控制 Command and Control) 、 
目标 行动 (Actions on Objectives) 等 七 个 阶段 。 

(1) 目标 侦察 。 研 究 、 辩 认 和 选择 目标 ， 通 常 利用 怜 虫 获取 网 站 信息 ， 例 如 会 议 记录 、 电 
子 邮件 地 址 、 社 交 关 系 或 有 关 特 定 技术 的 信息 。 

(2) 武器 构造 。 将 远程 访问 的 特洛伊 木马 程序 与 可 利用 的 有 效 载荷 结合 在 一 起 。 例如 ， 
利用 Adobe PDF 或 Microsoft Office 文档 用 作恶 意 代码 载体 。 

(3) 载荷 投 送 。 把 武器 化 有 效 载荷 投 送 到 目标 环境 ， 常 见 的 投 送 方式 包括 利用 电子 邮件 附 
件 、 网 站 和 USB 可 移动 介质 。 

(4) 漏洞 利用 。 将 攻击 载荷 投 送 到 受害 者 主机 后 ， 漏 洞 利用 通常 针对 应 用 程序 或 操作 系统 
漏洞 ， 会 触发 恶意 代码 功能 。 

(5) 安装 植 入 。 在 受害 目标 系统 上 安装 远程 访问 的 特洛伊 木马 或 后 门 程序 ,以 持久 性 地 控制 
目标 系统 。 

(6) 指挥 与 控制 。 构 建 对 目标 系统 的 远程 控制 通道 ， 实 施 远 程 指挥 和 操作 。 通 常 目标 系统 
与 互联 网 控制 端 服 务 器 建立 C2 通道 。 

(7) 目标 行动 。 采 取 行 动 执行 攻击 目标 的 任务 ， 如 从 受害 目标 系统 中 收集 、 加 密 、 提 取信 
息 并 将 其 送 到 目标 网 络 外 ; 或 者 破坏 数据 完整 性 以 危害 目标 系统 或 者 以 目标 系统 为 “跳板 ” 
进行 横向 扩展 渗透 内 部 网 络 。 


2.1.3 网络 攻 击发 展 


随 着 网 络 信息 技术 的 普及 与 应 用 发 展 ， 越 来 越 多 的 人 能 够 使 用 和 接触 网 络 ， 网 民 可 从 因 特 
网 上 学 习 攻 击 方法 并 下 载 黑客 工具 。 网 络 信息 环境 受到 不 同类 别 的 攻击 者 的 威胁 ， 如 黑客 、 犯 
罪 、 工 业 间谍 、 普 通用 户 、 超 级 用 户 、 管 理 员 、 恺 怖 组 织 等 。 攻 击 者 从 以 前 的 单机 系统 为 主 转 
变 到 以 网 络 及 信息 运行 环境 为 主 的 攻击 。 攻击 者 通过 制定 攻击 策略 , 使 用 各 种 各 样 的 工具 组 合 ， 
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甚至 由 软件 程序 自动 完成 目标 攻击 。 攻 击 方法 多 种 多 样 ， 如 网 络 侦 听 获取 网 上 用 户 的 账号 和 密 
码 、 利 用 操作 系统 漏洞 攻击 、 使 用 某 些 网 络 服务 泄露 敏感 信息 攻击 、 强 力 破解 口令 、 认 证 协议 
攻击 、 创 建 网 络 隐蔽 信道 、 安 装 特洛伊 木马 程序 、 拒 绝 服务 攻击 、 分 布 式 攻击 等 。 归 纳 起 来 ， 
网 络 攻击 具有 以 下 变化 趋势 。 


1. 网 络 攻击 工具 智能 化 、 自 动 化 


网 络 攻 击 者 利用 已 有 的 攻击 技术 编制 能 够 自动 攻击 的 工具 软件 ,网 络 攻 击 软 件 集成 多 种 攻 
击 功能 ， 具 有 信息 搜集 、 漏 洞 利用 、 复 制 传播 、 目 标 选择 等 能 力 。“ 红 色 代 码 ”“ 冲 击 波 ”“ 永 
恒 之 蓝 ” 等 网 络 蠕虫 可 在 网 络 信 息 系 统 中 自动 扩散 ， 导 致 网 络 瘫痪 、 服 务 及 数据 不 可 用 等 严重 
安全 问题 。 


2. 网 络 攻击 者 群体 普 适 化 


由 于 自动 化 网 络 攻击 软件 的 出 现 ， 网 络 攻击 者 可 利用 软件 工具 完成 复杂 攻击 。 网 络 攻击 者 
由 技术 人 员 向 非 技术 人 员 变 化 。 非 技术 人 员 通 过 使 用 工具 实施 对 网 络 目标 系统 的 攻击 ， 极 易 导 
致 网 络 攻击 技术 的 滥用 。 


3. 网 络 攻击 目标 多 样 化 和 隐蔽 性 


网 络 攻击 目标 日 趋 多样 性 ， 网 络 攻击 对 象 以 操作 系统 为 主 转向 网 络 的 各 个 层面 ， 包 括 网 络 
通信 协议 、 安 全 协议 、 域 名 服务 器 、 路 由 设备 、 网 络 应 用 服务 ， 甚 至 网 络 安全 设备 等 ， 均 成 为 
攻击 目标 。 除 此 之 外 ， 网 络 攻击 目标 的 隐蔽 性 增强 ， 网 络 内 容 、 网 络 业 务 系统 、 网 络 物理 环境 
以 及 网 络 关联 对 象 也 成 为 攻击 对 象 之 一 ， 网 络 攻击 对 象 扩展 到 物理 空间 和 社会 空间 。 


4. 网 络 攻击 计算 资源 获取 方便 


攻击 者 利用 因特网 巨大 的 计算 资源 ， 开 发 特殊 的 程序 将 分 布 在 不 同 地 域 的 计算 机 协同 起 
来 ， 向 特定 的 目标 发 起 攻击 。 例 如 ， 基 于 僵尸 网 络 发 起 DDoS 攻击 。 另 外 ， 网 络 攻击 者 利用 云 
计算 、 高 性 能 计算 以 提高 攻击 计算 能 力 。 例 如 ， 基 于 GPU 计算 加 速 口令 破解 速度 。 


S. 网 络 攻击 活动 持续 性 强化 


高 级 持续 威胁 (简称 APT) 日 趋 常态 化 ， 国 外 APT 组 织 对 国内 的 金融 、 政 府 、 教 育 、 科 研 等 
目标 系统 持续 发 动 攻击 。 网 上 已 发 现 和 公布 的 高 级 网 络 安全 威胁 行为 主体 主要 有 “方程 式 ”“ 白 象 ” 
“ 海 莲花 ”“ 绿 班 ”“ 草 灵 花 ”等 。 某 些 网 络 攻击 活动 持续 长 达 十 年 以 上 ， 直 到 被 发 现 。 


6. 网 络 攻击 速度 加 快 


网 络 中 的 漏洞 往往 是 攻击 者 先 发 现 、 先 利用 ， 网 络 安全 防御 处 于 被 动 局 面 。 如 果 网 络 安全 防 
御 者 未 补 上 新 公布 的 漏洞 ,网络 攻击 者 就 有 机 可 乘 。 网 络 攻击 者 掌握 主动 权 , 而 防御 者 被 动 应 付 。 
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7. 网 络 攻击 影响 扩大 


网 络 信息 安全 攻击 的 影响 日 益 增 大 ， 其 影响 可 延伸 到 物理 空间 、 社 会 空间 ， 严 重 时 可 导致 
城市 停电 停 水 停 气 、 交 通 竣 痪 、 工 厂 停产 、 社 会 混乱 等 。 


8. 网 络 攻击 主体 组 织 化 


早期 的 网 络 攻击 通常 由 技术 爱好 者 发 起 ， 其 目的 在 于 炫耀 技术 。 而 目前 的 网 络 攻击 主体 日 
益 复 杂 化 ， 各 种 利益 团体 参与 网 络 攻击 活动 。 例 如 ， 通 过 “ 震 网 ”病毒 的 网 络 攻击 能 力 显示 国 
家 力量 的 存在 。 网 络 空间 成 为 各 个 国家 的 重要 保护 领域 ， 一 些 网 络 信息 科技 发 达 的 国家 已 经 建 
立 起 网 军 ， 并 研制 系列 化 网 络 武器 。 

总 而 言 之 ， 网 络 信息 系统 面临 日 益 严重 的 安全 威胁 ， 网 络 安全 问题 全 面 影响 社会 的 各 个 领 
域 ， 威 胁 着 社会 安全 和 国家 安全 。 


2.2 ”网络 攻击 一 般 过 程 


了 解 网 络 攻击 过 程 模型 有 利于 “ 知 彼 ”， 能 更 好 地 指导 网 络 安全 防范 工作 。 本 文 把 网 络 攻 
击 过 程 归纳 为 下 面 几 个 步 又: 

(1) 隐藏 攻击 源 。 隐 藏 黑客 主机 位 置 使 得 系统 管理 无 法 追踪 。 

(2) 收集 攻击 目标 信息 。 确 定 攻击 目标 并 收集 目标 系统 的 有 关 信息 。 

(3) 挖掘 漏洞 信息 。 从 收集 到 的 目标 信息 中 提取 可 使 用 的 漏洞 信息 。 

(4) 获取 目标 访问 权限 。 获 取 目 标 系统 的 普通 或 特权 账户 的 权限 。 

(5) 隐蔽 攻击 行为 。 隐 蔽 在 目标 系统 中 的 操作 ， 防 止 入 侵 行为 被 发 现 。 

(6) 实施 攻击 。 进 行 破坏 活动 或 者 以 目标 系统 为 跳板 向 其 他 系统 发 起 新 的 攻击 。 

(7) 开辟 后 门 。 在 目标 系统 中 开辟 后 门 ， 方 便 以 后 入 侵 。 

(8) 清除 攻击 痕迹 。 避 免 安 全 管理 员 的 发 现 、 追 踪 以 及 法 律 部 门 取证 。 

下 面 分 别 进行 曾 述 。 


2.2.1 隐藏 攻击 源 


隐藏 位 置 就 是 有 效 地 保护 自己 , 在 因特网 上 的 网 络 主机 均 有 自己 的 网 络 地 址 , 根据 TCP/IP 
协议 的 规定 ， 若 没有 采取 保护 措施 ， 攻 击 主机 很 容易 被 反 查 到 位 置 ， 如 卫 地 址 和 域名 。 因 此 ， 
有 经 验 的 黑客 在 实施 攻击 活动 时 的 首要 步骤 是 设法 隐藏 自己 所 在 的 网 络 位 置 ， 包 括 自己 的 网 络 
域 及 IP 地 址 ， 使 调查 者 难以 发 现 真正 的 攻击 者 来 源 。 攻 击 者 常用 如 下 技术 隐藏 他 们 真实 的 卫 
地 址 或 者 域名 : 

。 ”利用 被 侵入 的 主机 作为 跳板 ; 

。 ”免费 代理 网 关 ; 
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。 伪造 下 地 址 ; 
。 ”假冒 用 户 账号 。 


2.2.2 ”收集 攻击 目标 信息 


在 发 动 一 些 攻 击 之 前 ， 攻 击 者 一 般 要 先 确 定 攻 击 目标 并 收集 目标 系统 的 相关 信息 。 他 
可 能 在 一 开始 就 确定 了 攻击 目标 ， 然 后 专门 收集 该 目标 的 信息 ; 也 可 能 先 大 量 地 收集 网 上 
主机 的 信息 ， 然 后 根据 各 系统 的 安全 性 强 弱 来 确定 最 后 的 目标 。 攻 击 者 常常 收集 的 目标 系 
统 信息 如 下 : 
。 目标 系统 一 般 信息 ， 主 要 有 目标 系统 的 IP 地 址 、DNS 服务 器 、 邮 件 服务 器 、 网 站 服 
务 器 、 操 作 系 统 软 件 类 型 及 版 本 号 、 数 据 库 软件 类 型 及 版 本 号 、 应 用 软件 类 型 及 版 本 
号 、 系 统 开发 商 等 ; 
。 目标 系统 配置 信息 ， 主 要 有 系统 是 否 禁止 root 远程 登录 、 缺 省 用 户 名 /默认 口令 等 ; 
。 目标 系统 的 安全 漏洞 信息 ， 主 要 是 目标 系统 的 有 漏洞 的 软件 及 服务 
。 目标 系统 的 安全 措施 信息 ， 主 要 是 目标 系统 的 安全 厂商 、 安 全 产品 等 
。 目标 系统 的 用 户 信息 ， 主 要 是 目标 系统 用 户 的 邮件 账号 、 社 交 网 账号 、 手 机 号 、 固 定 
电话 号 码 、 照 片 、 爱 好 等 个 人 信息 。 


2.2.3 ”挖掘 漏洞 信息 


系统 中 漏洞 的 存在 是 系统 受到 各 种 安全 威胁 的 根本 原因 。 外 部 攻击 者 的 攻击 主要 利用 了 系 
统 网 络 服务 中 的 漏洞 ， 内 部 人 员 则 利用 了 系统 内 部 服务 及 其 配置 上 的 漏洞 。 而 拒绝 服务 攻击 主 
要 是 利用 资源 的 有 限 性 及 分 配 策略 的 漏洞 ， 长 期 占用 有 限 资源 不 释放 ， 使 其 他 用 户 得 不 到 应 得 
的 服务 ;或 者 是 利用 服务 处 理 中 的 漏洞 ， 使 该 服务 程序 崩溃 。 攻 击 者 攻击 的 重要 步骤 就 是 尽量 
挖掘 出 系统 的 漏洞 ， 并 针对 有 具体 的 漏洞 研究 相应 的 攻击 方法 。 常 用 的 漏洞 挖掘 技术 方法 有 如 下 
内 容 。 

1. 系统 或 应 用 服务 软件 漏洞 

攻击 者 可 以 根据 目标 系统 提供 的 不 同 服务 ， 使 用 不 同 的 方法 以 获取 系统 的 访问 权限 。 如 系 
统 提供 了 finger 服务 ， 攻 击 者 就 能 因此 得 到 系统 用 户 信息 ， 进 而 通过 猜测 用 户口 令 获取 系统 的 


访问 权 ; 如 果 系统 还 提供 其 他 的 一 些 远程 网 络 服务 , 如 邮件 服务 、WWW 服务 、 匿 名 FTP 服务、 
TFTP 服务 ， 攻 击 者 就 可 以 使 用 这 些 远程 服务 中 的 漏洞 获取 系统 的 访问 权 。 


2. 主机 信任 关系 漏洞 


攻击 者 寻找 那些 被 信任 的 主机 ， 通 常 这 些 主机 可 能 是 管理 员 使 用 的 机 器 ， 或 是 一 台 被 认为 
很 安全 的 服务 器 。 比 如 ， 攻 击 者 可 以 利 CGI 的 漏洞 ， 读 取 /etc/hosts.allow 文件 等 。 通 过 这 个 文 
件 , 就 可 以 大 致 了 解 主机 间 的 信任 关系 。 下 一 步 , 就 是 探测 这 些 被 信任 的 主机 中 哪些 存在 漏洞 。 


第 2 章 ， 网 络 攻击 原理 与 常用 方法 “ 通 9 苦 


3. 目标 网 络 的 使 用 者 漏洞 


尽量 去 发 现 有 漏洞 的 网 络 使 用 者 ， 这 对 攻击 者 来 说 往往 能 起 到 事半功倍 的 效果 ， 堡 侄 最 容 
易 从 内 部 攻破 就 是 这 个 缘故 。 常 见 的 攻击 方法 主要 有 网 络 邮件 钓鱼 、 用 户 弱 口令 破解 、U 盘 摆 
渡 攻 击 、 网 页 恶意 代码 等 。 


4. 通信 协议 漏洞 


通过 分 析 目 标 网 络 所 采用 的 协议 信息 寻找 漏洞 ， 如 卫 协议 中 的 地 址 伪造 漏洞 、 
Telnet/Http/Ftp/POP3/SMTP 等 协议 的 明文 传输 信息 漏洞 。 


5. 网 络 业务 系 统 漏洞 
通过 掌握 目标 网 络 的 业务 信息 发 现 漏洞 ， 如 业务 服务 申请 登记 非 实名 漏洞 。 
2.2.4 获取 目标 访问 权限 


一 般 账户 对 目标 系统 只 有 有 限 的 访问 权限 , 要 达到 某 些 目的 , 攻击 者 必须 拿 到 更 多 的 权限 。 
因此 在 获得 一 般 账 户 之 后 ， 攻 击 者 经 常会 试图 去 获得 更 高 的 权限 ， 如 系统 管理 账户 的 权限 。 获 
取 系 统管 理 权 限 通常 有 以 下 途径 : 

。 ”获得 系统 管理 员 的 口令 ， 如 专门 针对 root 用 户 的 口令 攻击 ; 

。 ”利用 系统 管理 上 的 漏洞 ， 如 错误 的 文件 许可 权 ， 错 误 的 系统 配置 ， 某 些 SUID 程序 中 

存在 的 缓冲 区 溢出 问题 等 ; 

。 ”让 系统 管理 员 运 行 一 些 特洛伊 木马 ， 如 经 算 改 之 后 的 LOGIN 程序 等 ; 

。 窃听 管理 员 口 令 。 


2.2.5 ”隐藏 攻击 行为 


作为 一 个 入 侵 者 ， 攻 击 者 总 是 唯恐 自己 的 行踪 被 发 现 ， 所 以 在 进入 系统 之 后 ， 聪 明 的 攻击 
者 要 做 的 第 一 件 事 就 是 隐藏 自己 的 行踪 ， 攻 击 者 隐藏 自己 的 行踪 通常 要 用 到 下 面 这 些 技术 
。 ”连接 隐藏 ， 如 冒充 其 他 用 户 、 修 改 LOGNAME 环境 变量 、 修 改 utmp 日 志文 件 、 使 用 
IP SPOOF 技术 等 。 
。 ”进程 隐藏 ， 如 使 用 重 定向 技术 减少 ps 给 出 的 信息 量 、 用 特洛伊 木马 代替 ps 程序 等 。 
。 文件 隐蔽 8， 如 利用 字符 串 相 似 麻 闻 系 统管 理 员 ， 或 修改 文件 属性 使 得 普通 显示 方法 无 
法 看 到 ， 利 用 操作 系统 可 加 载 模块 特性 ， 隐 瞒 攻击 时 所 产生 的 信息 。 


2.2.6 实施 攻击 


不 同 的 攻击 者 有 不 同 的 攻击 目的 ， 可 能 是 为 了 获得 机 密 文件 的 访问 权 ， 也 可 能 是 为 了 破坏 
系统 数据 的 完整 性 ， 还 可 能 是 为 了 获得 整个 系统 的 控制 权 系统 管理 权限 ) 以 及 其 他 目的 等 。 
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一 般 来 说 ， 实 施 攻击 的 目标 可 归结 为 以 下 几 种 : 
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攻击 其 他 被 信任 的 主机 和 网 络 ; 
修改 或 删除 重要 数据 ; 

窃听 敏感 数据 ; 
停止 网 络 服务 ; 

下 载 敏感 数据 ; 

删除 数据 账号 ; 

修改 数据 记录 。 


开辟 后 门 


一 次 成 功 的 入 侵 通 常 要 耗费 攻击 者 大 量 的 时 间 与 精力 ， 所 以 精 于 算计 的 攻击 者 在 退出 系统 
之 前 会 在 系统 中 制造 一 些 后 门 , 以 方便 自己 下 次 入 侵 , 攻击 者 设计 后 门 时 通常 会 考虑 以 下 方法 : 
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放宽 文件 许可 权 ; 

重新 开放 不 安全 的 服务 ， 如 REXD、TFTP 等 ; 

修改 系统 的 配置 ， 如 系统 启动 文件 、 网 络 服务 配置 文件 等 
蔡 换 系统 本 身 的 共享 库 文件 ; 

修改 系统 的 源 代 码 ， 安 装 各 种 特洛伊 木马 ; 

安装 嗅 探 器 ; 

建立 隐蔽 信道 。 


清除 攻击 痕迹 


攻击 者 为 了 避免 系统 安全 管理 员 追 踪 ， 攻 击 时 常会 消除 攻击 痕迹 ， 避 免 安全 管理 员 或 IDS 


发 现 ， 常 用 的 方法 有 : 
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算 改 日 志文 件 中 的 审计 信息 ; 

改变 系统 时 间 造 成 日 志文 件数 据 紊乱 以 迷惑 系统 管理 员 ， 
删除 或 停止 审计 服务 进程 ; 

干扰 入 侵 检测 系统 的 正常 运行 ; 

修改 完整 性 检测 标签 。 


2.3 ”网 络 攻击 常见 技术 方法 


本 节 主 要 介绍 常见 的 网 络 攻击 技术 方法 。 


2.3.1 


端口 扫描 


端口 扫描 的 目的 是 找 出 目标 系统 上 提供 的 服务 列表 。 端 口 扫描 程序 挨个 尝试 与 TCP/UDP 
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端口 连接 ， 然 后 根据 端口 与 服务 的 对 应 关系 ， 结 合 服务 器 端的 反应 推断 目标 系统 上 是 否 运 行 了 
某 项 服务 ， 攻 击 者 通过 这 些 服务 可 能 获得 关于 目标 系统 的 进一步 的 知识 或 通 往 目标 系统 的 途 
径 。 根 据 端口 扫描 利用 的 技术 ， 扫 描 可 以 分 成 多 种 类 型 ， 下 面 分 别 叙述 。 


1. 完全 连接 扫描 


完全 连接 扫描 利用 TCP/IP 协议 的 三 次 握手 连接 机 制 ， 使 源 主机 和 目的 主机 的 某 个 端口 建 
立 一 次 完整 的 连接 。 如 果 建 立成 功 ， 则 表明 该 端口 开放 。 和 否则 ， 表 明 该 端口 关闭 。 


2. 半 连 接 扫描 


半 连 接 扫描 是 指 在 源 主 机 和 目的 主机 的 三 次 握手 连接 过 程 中 ， 只 完成 前 两 次 握手 ， 不 建立 
一 次 完整 的 连接 。 


3. SYN 扫描 


首先 向 目标 主机 发 送 连接 请 求 ， 当 目标 主机 返回 响应 后 ， 立 即 切断 连接 过 程 ， 并 查看 响应 
情况 。 如 果 目 标 主机 返回 ACK 信息 ， 表 示 目 标 主 机 的 该 端口 开放 。 如 果 目 标 主机 返回 RESET 
信息 ， 表 示 该 端口 没有 开放 。 

4. ID 头 信息 扫描 


这 种 扫描 方法 需要 用 一 台 第 三 方 机 器 配合 扫描 ， 并 且 这 台 机 器 的 网 络 通信 量 要 非常 少 ， 即 
dumb 主机 。 

首先 由 源 主机 A 向 dumb 主机 B 发 出 连续 的 PING 数据 包 , 并 且 查 看 主机 B 返回 的 数据 包 
的 ID 头 信息 。 一 般 而 言 ， 每 个 顺序 数据 包 的 ID 头 的 值 会 增加 1。 然后 由 源 主机 A 假冒 主机 B 
的 地 址 向 目的 主机 C 的 任意 端口 (1 一 65535) 发 送 SYN 数据 包 。 这 时 ， 主 机 C 向 主机 B 发 送 
的 数据 包 有 两 种 可 能 的 结果 : 

。 SYNIACK 表示 该 端口 处 于 监听 状态 。 

。 RSTIACK ”表示 该 端口 处 于 非 监听 状态 。 

那么 ， 由 后 续 PING 数据 包 的 响应 信息 的 ID 头 信息 可 以 看 出 ， 如 果 主 机 C 的 某 个 端口 是 
开放 的 ， 则 主机 B 返回 A 的 数据 包 中 ，ID 头 的 值 不 是 递增 1， 而 是 大 于 1。 如 果 主机 C 的 某 个 
端口 是 非 开放 的 ， 则 主机 B 返回 A 的 数据 包 中 ，ID 头 的 值 递增 1， 非 常规 律 。 


$5. 隐蔽 扫描 


隐蔽 扫描 是 指 能 够 成 功 地 绕 过 IDS、 防 火 墙 和 监视 系统 等 安全 机 制 ， 取 得 目标 主机 端口 信 
息 的 一 种 扫描 方式 。 


6. SYNIACK 扫描 


由 源 主机 向 目标 主机 的 某 个 端口 直接 发 送 SYNIACK 数据 包 ， 而 不 是 先 发 送 SYN 数据 包 。 
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由 于 这 种 方法 不 发 送 SYN 数据 包 ， 目 标 主机 会 认为 这 是 一 次 错误 的 连接 ， 从 而 会 报错 。 
如 果 目 标 主 机 的 该 端口 没有 开放 ， 则 会 返回 RST 信息 。 如 果 目 标 主机 的 该 端口 处 于 开放 
状态 (LISTENING) ， 则 不 会 返回 任何 信息 ， 而 是 直接 将 这 个 数据 包 抛弃 掉 。 


7. FIN 扫描 


源 主 机 A 向 目标 主机 B 发 送 FIN 数据 包 , 然后 查看 反馈 信息 。 如果 端 口 返回 RESET 信息 ， 
则 说 明 该 端口 关闭 。 如 果 端 口 没有 返回 任何 信息 ， 则 说 明 该 端口 开放 。 


8. ACK 扫描 


首先 由 主机 A 向 目标 主机 B 发 送 FIN 数据 包 ， 然 后 查看 反馈 数据 包 的 TITL 值 和 WIN 值 。 
开放 端口 所 返回 的 数据 包 的 TTL 值 一 般 小 于 64， 而 关闭 端口 的 返回 值 一 般 大 于 64。 开 放 端 口 
所 返回 的 数据 包 的 WIN 值 一 般 大 于 0， 而 关闭 端口 的 返回 值 一 般 等 于 0。 


9.NULL 扫描 


将 源 主机 发 送 的 数据 包 中 的 ACK、FIN、RST、SYN、URG、PSH 等 标志 位 全 部 置 空 。 如 
果 目 标 主机 没有 返回 任何 信息 ， 则 表明 该 端口 是 开放 的 。 如 果 返 回 RST 信息 ， 则 表明 该 端口 是 
关闭 的 。 


10. XMAS 扫描 


XMAS 扫描 的 原理 和 NULL 扫描 相同 , 只 是 将 要 发 送 的 数据 包 中 的 ACK、FIN、RST、SYN、 
URG、PSH 等 头 标志 位 全 部 置 成 1。 如 果 目 标 主机 没有 返回 任何 信息 ， 则 表明 该 端口 是 开放 的 。 
如 果 返 回 RST 信息 ， 则 表明 该 端口 是 关闭 的 。 

网 络 端口 扫描 是 攻击 者 必 备 的 技术 ， 通 过 扫描 可 以 掌握 攻击 目标 的 开放 服务 ， 根 据 扫 描 所 
获得 的 信息 ， 为 下 一 步 的 攻击 做 准备 。 


2.3.2 口令 破解 


口令 机 制 是 资源 访问 控制 的 第 一 道 屏障 。 网 络 攻击 者 常常 以 破解 用 户 的 弱 口令 为 突破 口 ， 
获取 系统 的 访问 权限 。 随 着 计算 机 硬件 和 软件 技术 的 发 展 ， 口 令 破 解 更 为 有 效 。 攻 击 者 可 将 干 
倍 于 10 年 前 的 计算 能 力 用 于 口令 攻击 。 在 一 台 工 作 站 上 ， 对 包含 250 000 个 词 条 的 字典 搜索 一 
遍 的 时 间 可 降 至 5 分 钟 。 据 调查 研究 , 普通 用 户 在 口令 字符 的 选择 上 , 仅 含 小 写字 母 的 占 28.9%， 
部 分 含有 大 写字 母 的 占 40.9%， 含 有 控制 字符 的 仅 占 1.4%， 含 有 标点 字号 的 仅 占 12.4%， 含 有 
非 字母 数字 的 仅 占 1.7%。 直 接 选 用 注册 时 的 用 户 信息 (如 用 户 名 、 电 话 及 用 户 ID) 做 密码 的 
占 3.9%。 总 地 来 说 ，20% 到 30% 的 口令 可 通过 对 字典 或 常用 字符 表 进行 搜索 或 经 过 简单 的 置换 
发 现 。 目 前 ， 有 专用 的 口令 攻击 软件 ， 这 些 软件 能 够 针对 不 同 的 系统 进行 攻击 。 此 外 ， 一 些 远 
程 网 络 服务 的 口令 破解 软件 也 开始 出 现 ， 攻 击 者 利用 这 些 软件 工具 ， 进 行 远程 猜测 网 络 服务 口 
令 ， 其 主要 工作 流程 如 下 : 
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第 一 步 ， 建 立 与 目标 网 络 服务 的 网 络 连 接 ; 

第 二 步 ， 选 取 一 个 用 户 列表 文件 及 字典 文件 ; 

第 三 步 ， 在 用 户 列表 文件 及 字典 文件 中 ， 选 取 一 组 用 户 和 口令 ， 按 网 络 服务 协议 规定 ， 将 
用 户 名 及 口令 发 送 给 目标 网 络 服务 端口 ; 

第 四 步 ， 检 测 远程 服务 返回 信息 ， 确 定 口 令 尝试 是 否 成 功 ; 

第 五 步 ， 再 取 另 一 组 用 户 和 口令 ， 重 复 循环 试验 ， 直 至 口令 用 户 列 表 文 件 及 字典 文件 选取 
完毕 。 


2.3.3 缓冲 区 溢出 


缓冲 区 溢出 攻击 可 以 使 攻击 者 有 机 会 获得 一 台 主机 的 部 分 或 全 部 的 控制 权 。 据 统计 ， 缓 冲 
区 溢出 攻击 占 远程 网 络 攻 击 的 绝 大 多 数 。 缓 冲 区 溢出 成 为 远程 攻击 主要 方式 的 原因 是 ， 缓 冲 区 
溢出 漏洞 会 给 予 攻击 者 控制 程序 执行 流程 的 机 会 。 攻 击 者 将 特意 构造 的 攻击 代码 植 入 有 缓冲 区 
溢出 漏洞 的 程序 之 中 ， 改 变 漏洞 程序 的 执行 过 程 ， 就 可 以 得 到 被 攻击 主机 的 控制 权 ， 如 图 2-1 
所 示 。 


堆栈 顶端 


a 函数 某 局 部 变量 分 配 本 
名作 指 人 二 》 a 局 部 变量 空间 
攻击 者 程序 代码 寄存 器 数据 保留 地 址 
攻击 者 程序 代码 地 址 调用 函数 返回 地 址 
堆栈 底 端 


图 2-1 通过 缓冲 区 溢出 获取 主机 的 控制 权 


2.3.4 恶意 代码 


恶意 代码 是 网 络 攻击 常见 的 攻击 手段 。 常 见 的 恶意 代码 类 型 有 计算 机 病毒 、 网 络 蠕虫 、 特 
洛 伊 木马 、 后 门 、 逻 辑 炸 弹 、 僵 尸 网 络 等 。 其 中 ， 网 络 蠕虫 程序 是 1988 年 由 小 英里 斯 编制 的 ， 
该 程序 具有 复制 传播 功能 ， 可 以 感染 UNIX 系统 主机 ， 使 网 上 6000 多 台 主 机 无 法 运行 ，2001 
年 8 月 ， 红 色 代 码 蠕虫 病毒 利用 微软 Web 服务 器 IS4.0 或 5.0 中 index 服务 的 安全 缺陷 ， 通 过 
自动 扫描 感染 方式 传播 蠕虫 ， 2010 年 “ 震 网 ”网 络 里 虫 是 首 个 专门 用 于 定向 攻击 真实 世界 中 基 
础 (能源) 设施 的 恶意 代码 。 
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2.3.5 ”拒绝 服务 


拒绝 服务 攻击 是 指 攻击 者 利用 系统 的 缺陷 ,执行 一 些 恶意 的 操作 ， 使 得 合法 的 系统 用 户 不 
E 及 时 得 到 应 得 的 服务 或 系统 资源 ， 如 CPU 处 理 时 间 、 存 储 器 、 网 络 带 宽 等 。 拒 绝 服务 攻击 往 
往 造成 计算 机 或 网 络 无 法 正常 工作 ， 进 而 会 使 一 个 依赖 于 计算 机 或 网 络 服务 的 企业 不 能 正常 运 
转 。 拒 绝 服务 攻击 最 本 质 的 特征 是 延长 服务 等 待 时 间 。 当 服务 等 待 时间 超 过 某 个 阔 值 时 ， 用 户 
因 无 法 忍耐 而 放弃 服务 。 拒 绝 服务 攻击 延迟 或 者 阻碍 合法 的 用 户 使 用 系统 提供 的 服务 ， 对 关键 
性 和 实时 性 服务 造成 的 影响 最 大 。 拒 绝 服务 攻击 与 其 他 的 攻击 方法 相 比较 ， 具 有 以 下 特点 : @ 难 
确认 性 ， 拒 绝 服务 攻击 很 难 判断 ， 用 户 在 自己 的 服务 得 不 到 及 时 响应 时 ， 并 不 认为 自己 (或 者 
系统 ) 受到 攻击 ， 反 而 可 能 认为 是 系统 故障 造成 一 时 的 服务 失效 。@ 隐 蔽 性 ， 正 常 请 求 服务 隐 
藏 拒绝 服务 攻击 的 过 程 。@@ 资 源 有 限 性 ， 由 于 计算 机 资源 有 限 ， 容 易 实 现 拒绝 服务 攻击 。@@ 软 
件 复杂 性 ， 由 于 软件 所 固有 的 复杂 性 ， 设 计 实现 难以 确保 软件 没有 缺陷 。 因 而 攻击 者 有 机 可 乘 ， 
可 以 直接 利用 软件 缺陷 进行 拒绝 服务 攻击 ， 例 如 泪 滴 攻 击 。 


1. 同步 包 风 暴 (SYN Flood) 


攻击 者 假 造 源 网 址 (Source IP) 发 送 多 个 同步 数据 包 (Syn Packet) 给 服务 器 (Server) ， 
服务 器 因 无 法 收 到 确认 数据 包 (Ack Packet) ， 使 TCP/IP 协议 的 三 次 握手 (Three-Way 
Hand-Shacking ) 无 法 顺利 完成 , 因而 无 法 建立 连接 。 其 原理 是 发 送 大 量 半 连接 状态 的 服务 请 求 ， 
使 Unix 等 服务 主机 无 法 处 理 正常 的 连接 请 求 ， 因 而 影响 正常 运作 。 

2. UDP 洪水 (UDP Flood) 


利用 简单 的 TCP/IP 服务 ， 如 用 Chargen 和 Echo 传送 毫 无 用 处 的 占 满 带宽 的 数据 。 通 过 伪 
造 与 某 一 主机 的 Chargen 服务 之 间 的 一 次 UDP 连接 , 回复 地 址 指向 开放 Echo 服务 的 一 台 主 机 ， 
生成 在 两 台 主 机 之 间 的 足够 多 的 无 用 数据 流 。 


3. Smurf 攻击 

一 种 简单 的 Smurf 攻击 是 将 回复 地 址 设置 成 目标 网 络 广播 地 址 的 ICMP 应 答 请 求 数据 包 ， 
使 该 网 络 的 所 有 主机 都 对 此 ICMP 应 答 请 求 作出 应 答 ， 导 致 网 络 阻塞 ， 比 ping of death 洪水 的 
流量 高 出 一 或 两 个 数量 级 。 更 加 复杂 的 Smurf 攻击 是 将 源 地 址 改 为 第 三 方 的 目标 网 络 ， 最 终 导 
致 第 三 方 网 络 阻塞 。 


4. 垃圾 邮件 


攻击 者 利用 邮件 系统 制造 垃圾 信息 ， 甚 至 通过 专门 的 邮件 炸弹 (mail bomb ) 程序 给 受害 用 
户 的 信箱 发 送 垃圾 信息 ， 耗 尽 用 户 信箱 的 磁盘 空间 ， 使 用 户 无 法 应 用 这 个 信箱 。 
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5. 消耗 CPU 和 内 存 资源 的 拒绝 服务 攻击 


利用 目标 系统 的 计算 算法 漏洞 ， 构 造 恶意 输入 数据 集 ， 导 致 目标 系统 的 CPU 或 内 存 资源 
耗 尽 ， 从 而 使 目标 系统 瘫痪 ， 如 Hash DoS。 


6. 死亡 之 ping (ping of death) 


早期 , 路 由 器 对 包 的 最 大 尺寸 都 有 限制 , 许多 操作 系统 在 实现 TCP/IP 堆栈 时 ,规定 ICMP 
包 小 于 等 于 64KB， 并 且 在 对 包 的 标题 头 进行 读 取 之 后 ， 要 根据 该 标题 头 中 包含 的 信息 为 有 效 
载荷 生成 缓冲 区 。 当 产生 畸形 的 、 尺 寸 超 过 ICMP 上 限 的 包 ， 即 加 载 的 尺寸 超过 64KB 上 限时 ， 
就 会 出 现 内 存 分 配 错误 ， 导 致 TCP/IP 堆栈 崩溃 ， 使 接收 方 停机 。 


7. 泪 滴 攻 击 (Teardrop Attack) 


泪 滴 攻击 暴露 出 人 P 数据 包 分 解 与 重组 的 弱点 。 当 人 P 数据 包 在 网 络 中 传输 时 , 会 被 分 解 成 
许多 不 同 的 片 传送 ， 并 借 由 偏 移 量 字段 (Offset Field) 作为 重组 的 依据 。 泪 滴 攻 击 通过 加 入 过 
多 或 不 必要 的 偏 移 量 字段 ， 使 计算 机 系统 重组 错乱 ， 产 生 不 可 预期 的 后 果 。 


8. 分 布 式 拒绝 服务 攻击 (Distributed Denial of Service Attack) 


分 布 式 拒绝 服务 攻击 是 指 植 入 后 门 程序 从 远程 遥控 攻击 ， 攻 击 者 从 多 个 已 入 侵 的 跳板 主 
机 控制 数 个 代理 攻击 主机 ， 所 以 攻击 者 可 同时 对 已 控制 的 代理 攻击 主机 激活 干扰 命令 ， 对 受 
害 主机 大 量 攻击 。 分 布 式 拒绝 服务 攻击 程序 , 最 著名 的 有 Trinoo、TFN、 TFN2K 和 Stacheldraht 
四 种 。 


2.3.6 ”网 络 钓鱼 


网 络 钓鱼 (Phishing) 是 一 种 通过 假冒 可 信 方 〈 知 名 银行 、 在 线 零售 商 和 信用 卡 公 司 等 可 
信 的 品牌 ) 提供 网 上 服务 ， 以 欺骗 手段 获取 敏感 个 人 信息 《〈 如 口令 、 信 用 卡 详细 信息 等 ) 的 攻 
击 方式 。 目 前 ， 网 络 钓鱼 综合 利用 社会 工程 攻击 技巧 和 现代 多 种 网 络 攻击 手段 ， 以 达到 欺骗 意 
图 。 最 典型 的 网 络 钓鱼 方法 是 ， 网 络 钓鱼 者 利用 其 骗 性 的 电子 邮件 和 伪造 的 网 站 来 进行 诈骗 活 
动 ， 诱 骗 访 问 者 提供 一 些 个 人 信息 ， 如 信用 卡号 、 账 户 和 口令 、 社 保 编号 等 内 容 ， 以 谋求 不 正 
当 利益 。 例 如 ， 网 络 钓鱼 攻击 者 构造 一 封 所 谓 “ 安 全 提醒 ”邮件 发 给 客户 ， 然 后 让 客户 点 击 虚 
假 网 站 , 填写 敏感 的 个 人 信息 ， 这 样 网 络 钓鱼 攻击 者 就 能 获取 受害 者 的 个 人 信息 , 并 非法 利用 ， 
如 图 2-2 所 示 。 
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图 2-2 利用 邮件 进行 网 络 钓鱼 攻击 示意 图 


2.3.7 网络 窃听 


网 络 窃听 是 指 利用 网 络 通信 技术 缺陷 ， 使 得 攻击 者 能 够 获取 到 其 他 人 的 网 络 通 信 信 息 。 常 
见 的 网 络 窃听 技术 手段 主要 有 网 络 嗅 探 、 中 间 人 攻击 。 一 般 的 计算 机 系统 通常 只 接收 目的 地 址 
指向 自己 的 网 络 包 ， 而 忽略 其 他 的 包 。 但 在 很 多 情况 下 ， 一 台 计算 机 的 网 络 接口 可 能 收 到 目的 
地 址 并 非 指向 自身 的 网 络 包 ， 在 完全 的 广播 子 网 中 ， 所 有 涉及 局 域 网 中 任何 一 台 主 机 的 网 络 通 
信 内 容 均 可 被 局 域 网 中 所 有 的 主机 接收 到 ， 这 就 使 得 网 络 窃听 变 得 十 分 容易 。 网 络 攻击 者 将 主 
机 网 络 接口 的 方式 设 成 “杂乱 ”模式 ， 就 可 以 接收 整个 网 络 上 的 信息 包 ， 从 而 可 以 获取 敏感 的 
口令 ， 甚 至 将 其 重组 ， 还 原 为 用 户 传递 的 文件 。 


2.3.8 SQL 注入 


在 Web 服务 中 ， 一 般 采 用 三 层 架构 模式 : 浏览 器 +Web 服务 器 + 数据 库 。 其 中 ，Web 脚本 
程序 负责 处 理 来 自 浏览 器 端 提交 的 信息 ， 如 用 户 登录 名 和 密码 、 查 询 请 求 等 。 但 是 ， 由 于 Web 
脚本 程序 的 编程 漏洞 ， 对 来 自 浏览 器 端的 信息 缺少 输入 安全 合法 性 检查 ， 网 络 攻击 者 利用 这 种 
类 型 的 漏洞 ， 把 SQL 命令 插入 Web 表单 的 输入 域 或 页 面 的 请 求 查找 字符 串 ， 欺 骗 服 务 器 执行 
恶意 的 SQL 命令 。 


2.3.9 社交 工程 
网 络 攻击 者 通过 一 系列 的 社交 活动 ， 获 取 需 要 的 信息 。 例 如 伪造 系统 管理 员 的 身份 ， 给 特 


定 的 用 户 发 电子 邮件 骗取 他 的 密码 口令 。 有 的 攻击 者 会 给 用 户 送 免费 实用 程序 ， 不 过 该 程序 除 
了 完成 用 户 所 需 的 功能 外 , 还 隐藏 了 一 个 将 用 户 的 计算 机 信息 发 送 给 攻击 者 的 功能 。 很 多 时 候 ， 
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没有 经 验 的 网 络 用 户 容 易 被 攻击 者 欺骗 ， 泄 露 相关 信息 。 例 如 ， 攻 击 者 打 电 话 给 公司 职员 ， 自 
称 是 网 络 安全 管理 成 员 ， 并 且 要 求 获 得 用 户口 令 。 攻 击 者 得 到 用 户口 令 后 ， 就 能 够 滥用 合法 用 
户 的 权利 。 


2.3.10 ”电子 监听 


网 络 攻击 者 采用 电子 设备 远 距 离 地 监视 电磁 波 的 传送 过 程 。 灵 敏 的 无 线 电 接收 装置 能 够 在 
远 处 看 到 计算 机 操作 者 输入 的 字符 或 屏幕 显示 的 内 容 。 


2.3.11 会话 动 持 


会 话 劫持 是 指 攻击 者 在 初始 授权 之 后 建立 一 个 连接 ， 在 会 话 劫持 以 后 ， 攻 击 者 具有 合法 用 
户 的 特权 权限 。 例 如 ， 一 个 合法 用 户 登录 一 台 主机 ， 当 工作 完成 后 ， 没 有 切断 主机 。 然 后 ， 攻 
击 者 乘机 接管 ， 因 为 主机 并 不 知道 合法 用 户 的 连接 已 经 断 开 。 于 是 ， 攻 击 者 能 够 使 用 合法 用 户 
的 所 有 权限 。 典 型 的 实例 是 “TCP 会 话 劫持 ”。 
2.3.12 ”漏洞 扫描 

漏洞 扫描 是 一 种 自动 检测 远程 或 本 地 主机 安全 漏洞 的 软件 ， 通 过 漏洞 扫描 器 可 以 自动 发 现 
系统 的 安全 漏洞 。 网 络 攻击 者 利用 漏洞 扫描 来 搜集 目标 系统 的 漏洞 信息 ， 为 下 一 步 的 攻击 做 准 
备 。 常 见 的 漏洞 扫描 技术 有 CGI 漏洞 扫描 、 弱 口令 扫描 、 操 作 系统 漏洞 扫描 、 数 据 库 漏洞 扫描 
等 。 一 些 黑客 或 安全 人 员 为 了 更 快速 地 查找 网 络 系 统 中 的 漏洞 ， 会 针对 某 个 漏洞 开发 专用 的 漏 
洞 扫描 工具 ， 例 如 RPC 漏洞 扫描 器 。 
2.3.13 ”代理 技术 


网 络 攻 击 者 通过 免费 代理 服务 器 进行 攻击 ， 其 目的 是 以 代理 服务 器 为 “攻击 跳板 ”， 即 使 
攻击 目标 的 网 络 管理 员 发 现 了 , 也 难以 追踪 到 网 络 攻击 者 的 真实 身份 或 他 地址 , 如 图 2-3 所 示 。 
为 了 增加 追踪 的 难度 ， 网 络 攻击 者 还 会 用 多 级 代理 服务 器 或 者 “跳板 主机 ”来 攻击 目标 。 在 黑 
客 中 ,代理 服务 器 被 叫 作 “肉鸡 ”， 黑 客 常 利用 所 控制 的 机 器 进行 攻击 活动 , 例如 DDoS 攻击 。 


直接 攻击 
攻击 目标 


搜集 信息 
图 2-3 基于 代理 服务 器 的 攻击 身份 隐藏 示意 图 


,| 代理 


要 而 服务 器 


2.3.14 ”数据 加 密 


网 络 攻击 者 常常 采用 数据 加 密 技术 来 逃避 网 络 安全 管理 人 员 的 追踪 。 加 密使 网 络 攻击 者 的 数 
据 得 到 有 效 保 护 ， 即 使 网 络 安全 管理 人 员 得 到 这 些 加 密 的 数据 ， 没 有 密 钥 也 无 法 读 懂 ， 这 样 就 实现 
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了 攻击 者 的 自身 保护 。 攻 击 者 的 安全 原则 是 ， 任 何 与 攻击 有 关 的 内 容 都 必须 加 密 或 者 立刻 销毁 。 
2.4 黑客 常用 工具 


本 节 主 要 介绍 网 络 攻击 者 常常 采用 的 工具 ， 主 要 包括 扫描 器 、 远 程 监控 、 密 码 破解 、 网 络 
嗅 探 器 、 安 全 渗透 工具 箱 等 。 


2.4.1 扫描 器 


扫描 器 正如 黑客 的 眼睛 ， 通 过 扫描 程序 ， 黑 客 可 以 找到 攻击 目标 的 瑟 地 址 、 开 放 的 端口 
号 、 服 务 器 运行 的 版 本 、 程 序 中 可 能 存在 的 漏洞 等 。 现 在 网 络 上 很 多 扫描 器 在 功能 上 都 设计 得 
非常 强大 ， 并 且 综 合 了 各 种 扫描 需要 ， 将 各 种 功能 集 于 一 身 。 根 据 不 同 的 扫描 目的 ， 扫 描 类 软 
件 又 分 为 地 址 扫描 器 、 端 口 扫 描 器 、 漏 洞 扫描 器 三 个 类 别 。 利 用 扫描 器 ， 黑 客 收集 目标 信息 的 
工作 可 轻松 完成 ， 从 而 可 以 让 黑客 清楚 地 了 解 目 标 ， 将 目标 “ 摸 得 一 清二 楚 ”， 这 对 于 攻击 来 
说 是 至 关 重 要 的 。 下 面 列 出 几 种 经 典 的 扫描 软件 : 
e NMAP NMap (Network Map) 即 网 络 地 图 ， 通 过 NMap 可 以 检测 网 络 上 主机 的 开 
放 端 口号 、 主 机 的 操作 系统 类 型 以 及 提供 的 网 络 服务 。 
。 ”Nessus Nessus 早期 是 免费 的 、 开 放 源 代码 的 远程 安全 扫描 器 ， 可 运行 在 Linux 操作 
系统 平台 上 ， 支 持 多 线程 和 插件 。 目 前 ， 该 工具 已 商业 化 。 
。 SuperScan SuperScan 是 一 款 具 有 TCP connect 端口 扫描 、Ping 和 域名 解析 等 功能 
工具 ， 能 较 容 易 地 对 指定 范围 内 的 他 地 址 进行 Ping 和 端口 扫描 。 


2.4.2 ”远程 监控 


远程 监控 实际 上 是 在 受害 机 器 上 运行 一 个 代理 软件 ， 而 在 黑客 的 电脑 中 运行 管理 软件 ， 受 
害 机 器 受 控 于 黑客 的 管理 端 。 受 害 机 器 通常 被 称 为 “肉鸡 ”， 其 经 常 被 用 于 发 起 DDoS 拒绝 服 
务 攻 击 或 作为 攻击 跳板 。 常 见 的 远程 监控 工具 有 冰河 、 网 络 精灵 、Netcat 。 


2.4.3 ”密码 破解 


密码 破解 是 安全 渗透 常用 的 工具 ， 常 见 的 密码 破解 方式 有 口令 猜测 、 穷 举 搜索 、 撞 库 等 。 
口令 猜测 主要 针对 用 户 的 弱 口 令 。 穷 举 搜索 就 是 针对 用 户 密码 的 选择 空间 , 使 用 高 性 能 计算 机 ， 
逐个 尝试 可 能 的 密码 ， 直 至 搜索 到 用 户 的 密码 。 撞 库 则 根据 已 经 收集 到 的 用 户 密码 的 相关 数据 
集 ， 通 过 用 户 关键 词 搜索 匹配 ， 与 目标 系统 的 用 户 信息 进行 碰撞 ， 以 获取 用 户 的 密码 。 密 码 破 
解 工具 大 多 数 是 由 高 级 黑客 编写 出 来 的 ， 供 初级 黑客 使 用 的 现成 软件 ， 使 用 者 只 要 按照 软件 的 
说 明 操作 就 可 以 达到 软件 的 预期 目的 。 密 码 破解 的 常见 工具 如 下 。 

。 John the Ripper John the Ripper 用 于 检查 Unix/Linux 系统 的 弱 口 令 ， 支 持 几 乎 所 有 

Unix 平台 上 经 crypt 函数 加 密 后 的 口令 哈 希 类 型 。 
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。 LOphtCrack LOphtCrack 常用 于 破解 Windows 系统 口令 , 含有 词典 攻击 、 组 合 攻击 、 
强行 攻击 等 多 种 口令 猜 解 方法 。 


2.4.4 ”网 络 噢 探 器 


网 络 嗅 探 器 (Network Sniffer) 是 一 种 黑客 攻击 工具 ， 通 过 网 络 嗅 探 ， 黑 客 可 以 截获 网 络 的 信 
息 包 ， 之 后 对 加 密 的 信息 包 进 行 破解 ， 进 而 分 析 包 内 的 数据 ， 获 得 有 关系 统 的 信息 。 如 可 以 截获 个 
人 上 网 的 信息 包 ， 分 析 上 网 账号 、 系 统 账号 、 电 子 邮 件 账号 等 个 人 隐私 资料 。 网 络 嗅 探 类 软件 已 经 
成 为 黑客 获取 秘密 信息 的 重要 手段 ， 常 见 的 网 络 嗅 探 器 工具 有 Tepdump、DSniff、WireShark 等 。 

。 Tecpdump/WireShark Tcpdump 是 基于 命令 行 的 网 络 数据 包 分 析 软 件 ， 可 以 作为 网 络 

嗅 探 工具 ， 能 把 匹配 规则 的 数据 包 内 容 显示 出 来 。 而 WireShark 则 提供 图 形 化 的 网 络 
数据 包 分 析 功能 ， 可 视 化 地 展示 网 络 数据 包 的 内 容 。 

。 DSniff DSniff 是 由 Dug Song 开发 的 一 套 包含 多 个 工具 的 软件 套件 ， 包 括 dsniff、 

filesnarf、mailsnarf、msgsnarf、rlsnarf 和 webspy。 使 用 DSni 全 可 以 获取 口令 、 邮 件 、 
文件 等 信息 。 


2.4.5 “安全 渗透 工具 箱 


1. Metasploit 

Metasploit 是 一 个 开源 渗透 测试 工具 ， 提 供 漏 洞 查找 、 漏 洞 利用 、 漏 洞 验证 等 服务 功能 。 
Metasploit 支持 1500 多 个 漏洞 挖掘 利用 ， 提 供 OWASP TOP10 漏洞 测试 。 

2. BackTracks 


BackTrack 集成 了 大 量 的 安全 工具 软件 ,支持 信息 收集 、 漏 洞 评估 、 漏 洞 利用 、 特 权 提升 、 
保持 访问 、 逆 向 工程 、 压 力 测试 。 


2.5 网 络 攻击 案例 分 析 


吃 一 御 ， 长 一 智 。 本 节 主要 分 析 已 发 生 的 网 络 攻击 案例 ， 以 便 大 家 掌握 网 络 攻击 的 活动 规 
律 ， 更 好 地 开展 网 络 安全 防御 工作 。 


2.5.1 DDoS 攻击 


DDoS 是 分 布 式 拒绝 服务 攻击 的 简称 。2000 年 春季 黑客 利用 分 布 式 拒绝 服务 攻击 (DDoS) 
大 型 网 站 ， 导 致 大 型 ISP 服务 机 构 Yahoo 的 网 络 服务 瘫痪 。 攻 击 者 为 了 提高 拒绝 服务 攻击 的 成 
功率 ， 需 要 控制 成 百 上 千 的 被 入 侵 主 机 。DDoS 的 整个 攻击 过 程 可 以 分 为 以 下 五 个 步 又 : 

第 一 步 ， 通 过 探测 扫描 大 量 主机 ， 寻 找 可 以 进行 攻击 的 目标 ; 
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第 二 步 ， 攻 击 有 安全 漏洞 的 主机 ， 并 设法 获取 控制 权 ; 

第 三 步 ， 在 已 攻击 成 功 的 主机 中 安装 客户 端 攻击 程序 ; 

第 四 步 ， 利 用 已 攻击 成 功 的 主机 继续 进行 扫描 和 攻击 ; 

第 五 步 ， 当 攻击 客户 端 达 到 一 定 的 数目 后 ， 攻 击 者 在 主 控 端 给 客户 端 攻击 程序 发 布 向 特定 
目标 进行 攻击 的 命令 。 

从 分 布 式 拒绝 服务 攻击 的 案例 来 看 ， 攻 击 者 进行 大 型 或 复杂 的 攻击 之 前 ， 需 要 利用 已 攻击 
成 功 的 主机 ， 时 机 成 熟 后 再 向 最 终 的 目标 发 起 攻击 。 从 这 一 点 上 来 说 ， 大 型 或 复杂 的 攻击 并 不 
一 步 到 位 ， 而 是 经 过 若干 个 攻击 操作 步骤 后 ， 才 能 实现 最 终 的 攻击 意图 。DDoS 常用 的 攻击 
技术 手段 有 HTTP Flood 攻击 、SYN Flood 攻击 、DNS 放大 攻击 等 。 其 中 ，HTTP Flood 攻击 
是 利用 僵尸 主机 向 特定 目标 网 站 发 送 大 量 的 HITP GET 请 求 , 以 导致 网 站 瘫 病 , 如 图 2-4 所 示 。 

攻击 者 


图 2-4 _ HTTP Flood 攻击 示意 图 


SYN Flood 攻击 利用 TCP/IP 协议 的 安全 缺陷 ， 伪 造 主机 发 送 大 量 的 SYN 包 到 目标 系统 ， 
导致 目标 系统 的 计算 机 网 络 瘫痪 ， 如 图 2-5 所 示 。 


攻击 者 


| 标 系 统 


E 
A Spoofed SYN Packet 
Spoofed SYN Packet 辐 


图 2-5 SYN Flood 攻击 示意 图 


DNS 放大 攻击 是 攻击 者 假冒 目标 系统 向 多 个 DNS 解析 服务 器 发 送 大 量 请 求 , 而 导致 DNS 
解析 服务 器 同时 应 答 目 标 系统 ， 产 生 大 量 网 络 流量 ， 形 成 拒绝 服务 ， 如 图 2-6 所 示 。 
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2-6 DNS 放大 攻击 示意 图 


2.5.2 W32.Blaster.Worm 


W32.Blaster.Worm 是 一 种 利用 DCOM RPC 漏洞 进行 传播 的 网 络 蠕虫 ， 其 传播 能 力 很 强 。 
感染 蠕虫 的 计算 机 系统 运行 不 稳定 ， 系 统 会 不 断 重启 。 并 且 该 蠕虫 还 将 对 windowsupdate.com 
进行 拒绝 服务 攻击 ， 使 得 受害 用 户 不 能 及 时 地 得 到 这 个 漏洞 的 补丁 。 如 图 2-7 所 示 ， 当 
W32.Blaster.Worm 运行 时 ， 会 进行 以 下 操作 。 


已 感染 
W32.Blaster.Worm 
主机 受害 主机 
1. 初 始 化 和 加 时 隐 
Bilaster Worm | 2 扫描 : 发 起 RPC 漏 洞 利用 攻击 ,135 TCp .执行 
执行 : 
ey 3. 远 程 下 载 初始 化 4444TCP vy 
UDP 4. 通 过 TFTP 下 载 蠕虫 代码 pr 
69 | 客户 Windows 
“执行 Command 
5 .远程 执行 蠕虫 代码 由 
蠕虫 |. 
代码 | 执行 


2-7 ”W32.Blaster.Worm 网 络 攻击 示意 图 


(1) 创建 一 个 名 为 BILLY 的 互 斥 体 。 如 果 这 个 互 斥 体 存在 ， 里 虫 将 放弃 感染 并 退出 。 
(2) 在 注册 表 中 添加 下 列 键 值 : 

"windows auto update"="msblast.exe" 

并 且 将 其 添加 至 : 

HKEY _ LOCAL MACHINE\SOFTWARE\MicrosofWindows\CurentVersion\Run 
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这 样 就 可 以 使 蠕虫 在 系统 被 重 起 的 时 候 能 够 自动 运行 。 

(3) 蠕虫 生成 攻击 卫 地 址 列表 ， 尝 试 去 感染 列表 中 的 计算 机 ,蠕虫 对 有 DCOM RPC 漏洞 
的 机 器 发 起 TCP 135 端口 的 连接 ， 进 行 感染 。 

(4) 在 TCP 4444 端口 绑 定 一 个 cmd.exe 的 后 门 。 

(5) 在 UDP port 69 口上 进行 监听 。 如 果 收 到 了 一 个 请 求 ， 将 把 Msblastexe 发 送 给 目标 机 器 。 

(6) 发 送 命令 给 远 端 的 机 器 使 它 回 联 已 经 受到 感染 的 机 器 并 下 载 Msblastexe。 

(7) 检查 当前 日 期 及 月 份 , 若 当 前 日 期 为 16 日 或 以 后 , 或 当前 月 份 处 在 9 月 到 12 月 之 间 ， 
则 W32.Blaster Worm 蠕虫 将 对 windowsupdate.com 发 动 TCP 同步 风暴 拒绝 服务 攻击 。 


2.5.3 网络 安全 导致 停电 事件 


本 网 络 安全 事件 材料 来 源 于 北京 安 天 网 络 安全 技术 有 限 公 司 〈 以 下 简称 安 天 公司 ) 发 布 的 
《乌克兰 电力 系统 遭受 攻击 事件 综合 分 析 报告 》 及 相关 网 络 信息 。2015 年 12 月 23 上 日， 乌克兰 
多 地 区 发 生 同 时 停电 的 事件 。 调 查 显 示 ， 乌 克 兰 电厂 停电 是 因 网 络 攻击 导致 电力 基础 设施 被 破 
坏 。 如 图 2-8 所 示 ， 根 据 安 天 公司 的 分 析 报 告 ， 黑 客 首先 利用 钓鱼 邮件 ， 欺 骗 电 力 公司 员工 下 
载 了 带 有 BlackEnergy 的 恶意 代码 文件 ， 然 后 诱导 用 户 打开 这 个 文件 ， 激 活 木马 ， 安 装 SSH 后 
门 和 系统 自 毁 工 具 Killdisk， 致 使 黑客 最 终 获 得 了 主 控 电 脑 的 控制 权 。 最 后 ， 黑 客 远程 操作 恶 
意 代码 将 电力 公司 的 主 控 计 算 机 与 变电站 断 连 并 切断 电源 ; 同时， 黑客 发 动 DDoS 攻击 电力 客 
服 中 心 ， 致 使 电厂 工作 人 员 无 法 立即 进行 电力 维修 工作 。 
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2-8 乌克兰 停电 事件 攻击 全 程 示意 图 
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2.6 本章 小 结 


本 章 首先 给 出 网 络 攻击 相关 概念 ， 总 结 了 网 络 攻击 的 技术 特点 、 发 展 趋势 和 网 络 攻击 的 一 
般 过 程 ， 然后， 还 系统 地 给 出 了 网 络 攻击 的 常见 技术 方法 和 黑客 常用 的 软件 工具 ; 最 后 分 析 了 
分 布 式 拒绝 服务 攻击 、 网 络 蠕虫、 网 络 安全 导致 停电 事件 等 典型 的 网 络 攻击 案例 。 
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3.1 密码 学 概况 


密码 技术 是 保障 网 络 与 信息 安全 的 核心 技术 和 基础 支撑 。 本 节 主 要 介绍 密码 学 的 发 展 简 
况 、 密 码 学 的 基本 概念 以 及 密码 系统 的 安全 性 分 析 方 法 。 


3.1.1 密码 学 发 展 简 况 


密码 学 是 一 门 研究 信息 安全 保护 的 科学 ， 以 实现 信息 的 保密 性 、 完 整 性 、 可 用 性 及 抗 抵赖 
性 。 密 码 学 主要 由 密码 编码 和 密码 分 析 两 个 部 分 组 成 。 其 中 ， 密 码 编码 学 研究 信息 的 变换 处 理 
以 实现 信息 的 安全 保护 ， 而 密码 分 析 学 则 研究 通过 密 文 获取 对 应 的 明文 信息 。 早 期 的 密码 学 主 
要 用 于 军事 和 外 交通 信 。 密 码 技术 经 历 了 由 传统 密码 学 到 现代 密码 学 的 发 展 。 传 统 密码 学 中 的 
技术 主要 是 换 位 和 置换 ， 这 种 加 密 方式 易 遭 到 统计 分 析 破 译 ， 如 字母 的 频率 、 字 母 的 组 合 关系 
是 分 析 传 统 密码 的 基本 方法 。1949 年 ， 香 农 发 表 了 著名 的 论文 《保密 系统 的 通信 理论 》， 提 出 
交 蔡 使 用 换 位 和 置换 以 抵御 统计 分 析 ， 增 加 了 混乱 〈Confusion) 和 扩散 (Diffusion) 的 密码 技 
术 新 方法 。20 世纪 70 年 代 ， 密 码 技术 出 现 重 大 创新 变化 ， 一 是 Diffie-Hellman 算法 、RSA 算 
法 的 提出 开辟 了 公 钥 密码 学 的 新 纪元 ， 二 是 美国 政府 正式 发 布 了 数据 加 密 标准 DES) ， 以 提 
供给 商业 公司 和 非 国防 政府 部 门 使 用 。 这 些 研究 成 果 的 出 现 标 志 着 现代 密码 学 的 诞生 。 之 后 其 
他 的 公 钥 密码 相关 方案 相继 出 现 ， 如 Rabin 体制 、EIGamal 公 钥 体制 、 椭 圆 曲 线 密码 公 钥 体制 
以 及 基于 代理 编码 理论 的 MeEliece 体制 和 基于 有 限 自动 机 理论 的 公 钥 密 码 体制 等 。1984 年 ， 
针对 传统 公 钥 认 证 和 证 书 管理 的 问题 ，Shamir 提出 了 基于 身份 的 公 钥 密码 系统 的 思想 ， 简 化 了 
证 书 管理 。 在 这 种 公 钥 密码 体制 的 密 钥 生成 过 程 中 ， 公 钥 直接 为 实体 的 身份 信息 ， 例 如 唯一 的 
身份 证 号 码 、 电 子 邮 件 地 址 等 ， 因 而 基于 身份 的 公 钥 密码 体制 可 以 很 自然 地 解决 公 钥 与 实体 的 
绑 定 问题 。RSA 算法 及 Diffie-Hellman 算法 的 发 明 者 都 相继 获得 了 计算 机 领域 的 图 灵 奖 。 

密码 算法 的 安全 性 不 是 一 成 不 变 的 ， 随 着 量子 计算 技术 日 渐 成 熟 , RSA 算法 的 安全 性 受到 
挑战 ， 抵 抗 量子 计算 的 密码 算法 成 为 新 的 需求 。 后 量子 时 代 密 码 (Post-Quantum Cryptography) 
研究 工作 是 当前 密码 学 的 研究 热点 。 
网 络 与 信息 技术 的 发 展 极 大 地 带动 了 密码 学 的 应 用 需求 , 电子 政务 、 电 子 商务 、 网 络 银行 、 
个 人 信息 等 领域 的 安全 保护 都 普遍 使 用 了 密码 技术 。 密 码 工作 直接 影响 国家 安全 ， 关 系 公 民 、 
法 人 和 其 他 组 织 机 构 的 切身 利益 。 目 前 ， 密 码 成 为 网 络 与 信息 安全 的 核心 技术 和 基础 支撑 ， 密 
码 学 的 应 用 得 到 社会 广泛 认同 ， 正 影响 着 网 络 与 信息 技术 的 发 展 。2005 年 4 月 1 日 起 国家 施行 
《中 华人 民 共 和 国电 子 签名 法 》。2006 年 我 国政 府 公布 了 自己 的 商用 密码 算法 ， 成 为 我 国 密码 
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发 展 史上 的 一 件 大 事 。2019 年 《中 华人 民 共和 国 密码 法 》 草 案 已 经 发 布 。 
3.1.2 ”密码 学 基本 概念 


密码 学 的 主要 目的 是 保持 明文 的 秘密 以 防止 攻击 者 获知 ， 而 密码 分 析 学 则 是 在 不 知道 密 钥 
的 情况 下 ， 识 别 出 明 文 的 科学 。 所 谓 明文 是 指 需 要 采用 密码 技术 进行 保护 的 消息 。 而 密 文 则 是 
指 用 密码 技术 处 理 过 明文 的 结果 ， 通 常 称 为 加 密 消 息 。 将 明文 变换 成 密 文 的 过 程 称 作 加 密 ， 其 
逆 过 程 ， 即 由 密 文 恢复 出 原 明文 的 过 程 称 作 解 密 。 加 密 过 程 所 使 用 的 一 组 操作 运算 规则 称 作 加 
密 算法 ， 而 解密 过 程 所 使 用 的 一 组 操作 运算 规则 称 作 解 密 算法 。 加 密 和 解密 算法 的 操作 通常 都 
是 在 密 钥 控制 下 进行 的 ， 分 别称 为 加 密 密 钥 和 解密 密 钥 。 


3.1.3 ”密码 安全 性 分 析 


根据 密码 分 析 者 在 破译 时 已 具备 的 前 提 条 件 ， 人 们 通常 将 密码 分 析 攻 击 类 型 分 为 五 种 ， 分 
别 叙述 如 下 。 

(1) 唯 密 文 攻击 (ciphertext-only attack) 。 密 码 分 析 者 只 拥有 一 个 或 多 个 用 同一 个 密 钥 
加 密 的 密 文 ， 没 有 其 他 可 利用 的 信息 。 

(2) 已 知 明文 攻击 (known-plaintext attack) 。 密 码 分 析 者 仅 知道 当前 密 钥 下 的 一 些 明 文 
及 所 对 应 的 密 文 。 

(3) 选择 明文 攻击 〈chosen-plaintext attack) 。 密 码 分 析 者 能 够 得 到 当前 密 钥 下 自己 选 定 
的 明文 所 对 应 的 密 文 。 

(4) 密 文 验证 攻击 (ciphertext verification attack) 。 密 码 分 析 者 对 于 任何 选 定 的 密 文 ， 
能 够 得 到 该 密 文 “是 否 合法 ”的 判断 。 

(5) 选择 密 文 攻击 (chosen-ciphertext attack) 。 除 了 挑战 密 文 外 ， 密 码 分 析 者 能 够 得 到 
任何 选 定 的 密 文 所 对 应 的 明文 。 


3.2 ”密码 体制 分 类 


根据 密 钥 的 特点 ， 密 码 体制 分 为 私 铀 和 公 钥 密码 体制 两 种 ， 而 介 于 私 钥 和 公 钥 之 间 的 密码 
体制 称 为 混合 密码 体制 。 


3.2.1 私 钥 密 码 体制 


私 钥 密 码 体制 又 称 为 对 称 密码 体制 ， 指 广泛 应 用 的 普通 密码 体制 ， 该 体制 的 特点 是 加 密 和 
解密 使 用 相同 的 密 钥 ， 如 图 3-1 所 示 。 私 钥 密 码 体制 可 看 成 保险 柜 ， 密 钥 就 是 保险 柜 的 号 码 。 
持 有 号 码 的 人 能 够 打开 保险 柜 ， 放 入 文件 ， 然 后 再 关闭 它 。 获 取 到 号 码 的 其 他 人 可 以 打开 保险 
柜 ， 取 出 文件 ， 而 没有 号 码 的 人 就 必须 摸索 保险 柜 的 打开 方法 。 当 用 户 应 用 这 种 体制 时 ， 消 息 
的 发 送 者 和 接收 者 必须 事先 通过 安全 渠道 交换 密 钥 ， 以 保证 发 送 消息 或 接收 消息 时 能 够 有 供 使 
用 的 密 钥 。 
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图 3-1 私 钥 密 码 体制 原理 示意 图 


显而易见 ， 私 钥 密 码 体制 的 密 钥 分 配 和 管理 极为 重要 。 为 了 保证 加 密 消息 的 安全 ， 密 钥 分 
配 必须 使 用 安全 途径 ， 例 如 由 专门 人 员 负 责 护送 密 钥 给 接收 者 。 同 时 ， 消 息 发 送 方 和 接收 方 都 
需要 安全 保管 密 钥 ， 防 止 非法 用 户 读 取 。 除 了 密 钥 的 安全 分 配 和 管理 外 ， 私 钥 密 码 体制 的 另外 
一 个 问题 是 密 钥 量 的 管理 ， 由 于 加 密 和 解密 使 用 同一 个 密 钥 ， 因 此 ， 在 不 同 的 接收 者 分 别 进行 
加 密 通信 或 信息 交换 时 ， 则 需要 有 几 个 不 同 的 密 钥 。 假 设 网 络 中 有 个 使 用 者 ， 使 用 者 之 间 共 
享 一 个 密 钥 ， 则 共有 n(n-1) /2 个 密 钥 。 如 果 n 很 大 ， 密 钥 将 多 得 无 法 处 理 。 在 私 钥 密 码 体制 
中 ， 使 用 者 A 和 B 具有 相同 的 加 、 解 密 能 力 ， 因 此 使 用 者 B 无 法 证 实 收 到 的 A 发 来 的 消息 是 
否 确实 来 自 A。 私 钥 密 码 体制 的 缺陷 可 归结 为 三 点 ， 密 钥 分 配 问题 、 密 钥 管 理 问题 以 及 无 法 认 
证 源 。 虽 然 私 钥 密码 体制 有 不 足 之 处 ， 但 私 钥 密码 算法 处 理 速度 快 ， 人 们 常常 将 其 用 作 数 据 加 
密 处 理 。 目 前 ， 私 钥 密码 典型 算法 有 DES、IDEA、AES 等 ， 其 中 DES 是 美国 早期 数据 加 密 标 
准 ， 现 在 已 经 被 AES 取代 。 


3.2.2 ” 公 钥 密码 体制 


1976 年 ，W.Diffie 和 M.E.Hellman 发 表 了 《密码 学 的 新 方向 》 一 文 ， 提 出 了 公 钥 密码 体 
制 的 思想 。 公 钥 密码 体制 又 称 为 非 对 称 密码 体制 ， 其 基本 原理 是 在 加 密 和 解密 的 过 程 中 使 用 
不 同 的 密 钥 处 理 方式 ， 其 中 ， 加 密 密 钥 可 以 公开 ， 而 只 需要 把 解密 密 钥 安 全 存放 即 可 。 在 安 
全 性 方面 ， 密 码 算法 即使 公开 ， 由 加 密 密 钥 推 知 解密 密 钥 也 是 计算 不 可 行 的 。 公 钥 密 码 体制 
原理 如 图 3-2 所 示 。 
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图 3-2 ” 公 钥 密码 体制 原理 示意 图 


公 钥 密码 体制 可 看 成 邮局 的 邮 简 ， 任 何人 都 能 轻易 地 把 邮件 放 进 邮 简 ， 只 要 从 邮 简 口 投 进 
去 就 行 了 。 把 邮件 放 进 邮 简 是 一 件 公开 的 事情 , 但 打开 邮 简 却 是 很 难 的 。 如 果 持 有 秘密 信息 ( 钥 
匙 或 组 合 密码 ) ， 就 能 很 容易 地 打开 邮 简 的 门 锁 了 。 与 私 钥 密 码 体制 相 比 较 ， 公 钥 密 码 体制 有 
以 下 优点 。 

(1) 密 钥 分 发 方便 ， 能 以 公开 方式 分 配 加 密 密 钥 。 例如， 因特网 中 个 人 安全 通信 常 将 自己 
的 公 钥 公布 在 网 页 中 ， 方 便 其 他 人 用 它 进行 安全 加 密 。 
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(2) 密 钥 保管 量 少 。 网 络 中 的 消息 发 送 方 可 以 共用 一 个 公开 加 密 密 钥 , 从 而 减少 密 钥 数量 。 
只 要 接收 方 的 解密 密 钥 保密 ， 就 能 实现 消息 的 安全 性 。 

(3) 支持 数字 签名 。 

目前 ， 有 三 种 公 钥 密码 体制 类 型 被 证 明 是 安全 和 有 效 的 ， 即 RSA 体制 、ELGamal 体制 及 
椭圆 曲线 密码 体制 。 
3.2.3 ”混合 密码 体制 


混合 密码 体制 利用 公 钥 密码 体制 分 配 私 钥 密码 体制 的 密 钥 ， 消 息 的 收发 双方 共用 这 个 密 
钥 ， 然 后 按照 私 钥 密码 体制 的 方式 ， 进 行 加 密 和 解密 运算 。 混 合 密码 体制 的 工作 原理 如 图 3-3 
所 示 。 第 一 步 ， 消 息 发 送 者 Alice 用 对 称 密 钥 把 需要 发 送 的 消息 加 密 。 第 二 步 ，Alice 用 Bob 的 
公开 密 钥 将 对 称 密 钥 加 密 ， 形 成 数字 信封 。 然 后 ， 一 起 把 加 密 消息 和 数字 信封 传送 给 Bob。 第 
三 步 ，Bob 收 到 Alice 的 加 密 消息 和 数字 信封 后 ， 用 自己 的 私 钥 将 数字 信封 解密 ， 获 取 Alice 加 
密 消息 时 的 对 称 密 钥 。 第 四 步 ，Bob 使 用 Alice 加 密 的 对 称 密 钥 把 收 到 的 加 密 消息 解 开 。 
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图 3-3 混合 密码 体制 原理 示意 图 


3.3 ”常见 密码 算法 
本 节 主 要 介绍 国际 上 常见 的 密码 算法 以 及 国产 密码 算法 。 


3.31 DES 


DES (Data Encryption Standard) 是 数据 加 密 标准 的 简称 ， 由 IBM 公司 研制 。DES 是 一 个 
分 组 加 密 算法 ， 能 够 支持 64 比特 的 明文 块 加 密 ， 其 密 钥 长 度 为 56 比特 。DES 是 世界 上 应 用 最 
广泛 的 密码 算法 。 但 是 ， 随 着 计算 机 系统 运算 速度 的 增加 和 网 络 计算 的 进行 ， 在 有 限 的 时 间 内 
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进行 大 量 的 运算 将 变 得 更 可 行 。1997 年 ，RSA 实验 室 发 出 了 破解 DES 密 文 的 挑战 。 由 Roche 
Verse 牵头 的 一 个 工程 小 组 动用 了 70 000 多 台 通 过 互联 网 连接 起 来 的 计算 机 ， 使 用 暴力 攻击 程 
序 ， 大 约 花 费 96 天 的 时 间 找 到 了 正确 的 DES 密 钥 。1998 年 7 月， 电子 前 沿 基金 会 (EFF) 花 
费 了 250 000 美元 制造 的 一 台 机 器 在 不 到 3 天 的 时 间 里 攻破 了 DES。 因 此 ，DES56 比特 的 密 钥 
长 度 已 不 足以 保证 密码 系统 的 安全 。NIST 于 1999 年 10 月 25 日 采用 三 重 DES (Triple Data 
Encryption Algorithm， TDEA) 作为 过 渡 期 间 的 国家 标准 ， 以 增强 DES 的 安全 性 ， 并 开始 征集 
AES (Advanced Encryption Standard) 算法 。 其中， TDEA 算法 的 工作 机 制 是 使 用 DES 对 明文 
进行 “加 密 一 解密 一 加 密 ” 操 作 ， 即 对 DES 加 密 后 的 密 文 进行 解密 再 加 密 ， 而 解密 则 相反 。 设 
Ek ( ) 和 Dr ( ) 代表 DES 算法 的 加 密 和 解密 过 程 ，K 代表 DES 算法 使 用 的 密 钥 ，I 代 表明 
文 输入 ，O 代表 密 文 输出 ， 则 TDEA 的 加 密 操作 过 程 如 下 : 


I1—» DES Eu 上 "| DES Du 上 DES Er, Po 


TDEA 的 解密 操作 过 程 如 下 : 


1—» DES Du 上 | DES Eu +» DES Du |>0 


3.3.2 IDEA 


IDEA (International Data Encryption Algorithm) 是 国际 数据 加 密 算法 的 简 记 ,是 一 个 
分 组 加 密 处 理 算法 ， 其 明文 和 密 文 分 组 都 是 64 比特 ， 密 钥 长 度 为 128 比特 。 该 算法 是 由 来 学 
嘉 (X.JLai) 和 Massey 提出 的 建议 标准 算法 ， 已 在 PGP 中 得 到 应 用 。IDEA 算法 能 够 接受 64 
比特 分 组 加 密 处 理 ， 同 一 算法 既 可 用 于 加 密 又 可 用 于 解密 ， 该 算法 的 设计 思想 是 “混合 使 用 来 
自 不 同 代数 群 中 的 运算 ”。 


3.3.3 AES 


1997 年 美国 国家 标准 技术 研究 所 (NIST) 发 起 征集 AES (Advanced Encryption Standard) 
算法 的 活动 ， 并 专门 成 立 了 AES 工作 组 ， 其 目的 是 确定 一 个 非 保 密 的 、 公 开 的 、 全 球 免 费 使 
用 的 分 组 密码 算法 , 用 于 保护 下 一 世纪 政府 的 敏感 信息 。NIST 规定 候选 算法 必须 满足 下 面 的 
要 求 : 

。 ”密码 必须 是 没有 密级 的 ， 绝 不 能 像 商业 秘密 那样 来 保护 它 ; 

。 算法 的 全 部 描述 必须 公开 披露 ; 

。 ”密码 必须 可 以 在 世界 范围 内 免费 使 用 ; 

。 ”密码 系统 支持 至 少 128 比特 长 的 分 组 ; 

。 ”密码 支持 的 密 钥 长 度 至 少 为 128、192 和 256 比特 。 

参与 AES 的 候选 算法 中 ，Rijndael 提供 了 安全 性 、 软 件 和 硬件 性 能 、 低 内 存 需求 以 及 灵活 
性 的 最 好 的 组 合 ， 因 此 NIST 确定 选择 Rijndael 作为 AES。 
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3.3.4 RSA 


RSA 算法 是 非 对 称 算法 , 由 Ronald Rivest 、Adi Shamir、Leonard Adleman 三 人 共同 在 1977 
年 公开 发 表 。 在 RSA 加 密 算法 中 ,， 公 钥 和 私 钥 都 可 以 用 于 加 密 消息 , 用 于 加 密 消息 的 密 钥 与 用 
于 解密 消息 的 密 钥 相反 。RSA 算法 提供 了 一 种 保护 网 络 通信 和 数据 存储 的 机 密 性 、 完 整 性 、 真 
实 性 和 不 可 否认 性 的 方法 。 目前，SSH、OpenPGP、S/MIME 和 SSL/TLS 都 依赖 于 RSA 进行 
加 密 和 数字 签名 功能 。RSA 算法 在 浏览 器 中 使 用 ， 能 够 在 不 可 信任 的 互联 网 中 建立 安全 连接 。 
RSA 签名 验证 是 网 络 连接 系统 中 最 常见 的 执行 操作 之 一 。 

RSA 算法 基于 大 整数 因子 分 解 的 困难 性 ， 该 算法 的 步骤 如 下 : 

第 一 步 ， 生 成 两 个 大 素数 乙 和 9 。 

第 二 步 ， 计 算 这 两 个 素数 的 乘积 n =pg。 

第 三 步 ， 计 算 小 于 n 并且 与 n 互 素 的 整数 的 个 数 ， 即 欧 拉 函数 p(n)= (p 一 D(g 一 1)。 

第 四 步 ,选取 一 个 随机 数 e, 且 满 足 1<e< y(n) ,并 且 e 和 y(nm) 互 素 , 即 gcd(e,2(O)=1。 

第 五 步 ,计算 4 =e !modyg(n)。 

第 六 步 ， 保 密 d、p 和 g， 而 公开 nn 和 e， 即 4 作为 私 钥 ， 而 n 和 作为 公 钥 。 

下 面 ， 举 一 个 RSA 加 密 的 具体 实例 。 设 素数 p=3，gq=17， 并 令 e=13， 则 RSA 的 加 密 操 作 
如 下 : 

第 一 步 ， 计 算 n，n=pg=3X17=51， 得 出 公 钥 n=51，e =13。 

第 二 步 , 计算 p(n) 和 qd ，y(n)=(p 一 D(q 一 =2X16=32 。 因为 4=e'modyg(m)， 所 以 


4 = 各 四 二 ， 其 中 上 是 P-1 和 9-1 的 最 大 公约 数 。 由 此 算出 4==(2x32+1)/13=5， 即 解密 


密 钥 4=5。 

第 三 步 , 加 密 和 解密 处 理 计算 。 假 设 Bob 的 公开 密 钥 是 e=13、n=51,，Alice 需要 将 明文 “2” 
发 送 给 Bob， 则 Alice 首先 用 Bob 的 公开 密 钥 加 密 明 文 ， 即 : 

C=M’modn=2* mod51=8192mod51= 32 

然后 ，Bob 收 到 Alice 发 来 的 密 文 C 后 ， 用 自己 的 私 钥 q 解密 密 文 C， 即 : 

M=C"modn=32’ mod51=1024x1024x32mod51=512mod51=2 

RSA 安全 性 保证 要 做 到 选取 的 素数 p 和 g 足够 大 , 使 得 给 定 了 它们 的 乘积 n 后, 在 事先 不 
知道 p 或 gq 的 情况 下 分 解 n 是 计算 上 不 可 行 的 因此, 破译 RSA 密码 体制 基本 上 等 价 于 分 解 n。 
基于 安全 性 考虑 ， 要 求 n 长 度 至 少 应 为 1024 比特 ,然而 从 长 期 的 安全 性 来 看 ，n 的 长 度 至 少 应 
为 2048 比特 ， 或 者 是 616 位 的 十 进 制 数 。 


3.3.5 ”国产 密码 算法 


国产 密码 算法 是 指 由 国家 密码 研究 相关 机 构 自 主 研 发 ， 具 有 相关 知识 产权 的 商用 密码 算 
法 。1999 年 国务 院 发 布 实施 的 《商用 密码 管理 条 例 》 第 一 章 第 二 条 规定 : “本 条 例 所 称 商用 密 
码 ， 是 指 对 不 涉及 国家 秘密 内 容 的 信息 进行 加 密 保护 或 者 安全 认证 所 使 用 的 密码 技术 和 密码 产 
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品 。” 目 前 ， 已 经 公布 的 国产 密码 算法 主要 有 SM1 分 组 密码 算法 、SM2 椭圆 曲线 公 钥 密码 算 
法 、SM3 密码 杂凑 算法 、SM4 分 组 算法 、SM9 标识 密码 算法 。 各 国产 商用 密码 算法 的 特性 统 
计 如 表 3-1 所 示 。 


表 3-1 国产 商用 密码 算法 特性 统计 表 

算法 名 称 算法 特性 描述 备 注 

SMI1 对 称 加 密 ， 分 组 长 度 和 密 钥 长 度 都 为 128 比特 
非 对 称 加 密 ， 用 于 公 钥 加 密 算法 、 密 钥 交换 协议 、 数 字 | 国家 标准 推荐 使 用 素数 域 256 

签名 算法 位 椭圆 曲线 

SM3 杂凑 算法 ， 杂 凑 值 长 度 为 256 比特 
SM4 对 称 加 密 ， 分 组 长 度 和 密 钥 长 度 都 为 128 比特 
SM9 标识 密码 算法 


其 中 ，SM1 算法 是 一 种 对 称 加 密 算 法 ， 分 组 长 度 为 128 比特 ， 密 钥 长 度 为 128 比特 。 

SM2 算法 基于 椭圆 曲线 ， 应 用 于 公 钥 密码 系统 。 对 于 一 般 椭 圆 曲 线 的 离散 对 数 问题 , 目前 
只 存在 指数 级 计算 复杂 度 的 求解 方法 。 与 大 数 分 解 问题 及 有 限 域 上 离散 对 数 问 题 相 比 ， 椭 圆 曲 
线 离 散 对 数 问 题 的 求解 难度 要 大 得 多 。 因 此 ， 在 相同 安全 程度 的 要 求 下 ， 椭 圆 曲 线 密码 较 其 他 
公 钥 密码 所 需 的 密 钥 规模 要 小 得 多 。SM2 算法 可 以 用 于 数字 签名 、 密 钥 交换 、 公 钥 加 密 。 详 见 
GM/T 0009 一 2012《SM2 密码 算法 使 用 规范 》。 

SM3 杂凑 算法 对 长 度 为 1 (1 < 2”) 比特 的 消息 加 ， 经 过 填充 、 迭 代 压缩 ， 生 成 杂凑 值 ， 杂 
凌 值 输出 长 度 为 256 比特 。 详 见 GM/T0004 一 2012《SM3 密码 杂凑 算法 》。 

SM4 密码 算法 是 一 个 分 组 算法 。 该 算法 的 分 组 长 度 为 128 比特 ， 密 钥 长 度 为 128 比特 。 加 
密 算法 与 密 钥 扩展 算法 都 采用 32 轮 非 线性 迭代 结构 。 数 据 解 密 和 数据 加 密 的 算法 结构 相同 ， 
只 是 轮 密 钥 的 使 用 顺序 相反 ， 解 密 轮 密 钥 是 加 密 轮 密 钥 的 逆序 。 详 见 GM/T0002 一 2012《SM4 
分 组 密码 算法 》。 

SM9 是 标识 密码 算法 。 在 标识 密码 系统 中 , 用 户 的 私 钥 由 密 钥 生成 中 心 (KGC) 根据 主 密 
钥 和 用 户 标识 计算 得 出 ， 用 户 的 公 钥 由 用 户 标识 唯一 确定 ， 因 而 用 户 不 需要 通过 第 三 方 保 证 其 
公 钥 的 真实 性 。 与 基于 证 书 的 公 钥 密码 系统 相 比 较 ， 标 识 密码 系统 中 的 密 钥 管 理 环节 可 以 得 到 
简化 , SM9 可 支持 实现 公 钥 加 密 、 密 钥 交 换 、 数字 签名 等 安全 功能 , 详 见 GM/T0044 一 2016《SM9 
标识 密码 算法 》。 


3.4 Hash 函数 与 数字 签名 


SM2 


本 节 主 要 介绍 Hash 函数 的 特性 以 及 常用 的 Hash 算法 ， 同 时 给 出 Hash 算法 在 数字 签名 中 
的 应 用 。 
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3.4.1 Hash 函数 


杂凑 函数 简称 Hash 函数 ， 它 能 够 将 任意 长 度 的 信息 转换 成 固定 长 度 的 哈 希 值 〈 又 称 数字 
摘要 或 消息 摘要 ) ,并且 任意 不 同 消息 或 文件 所 生成 的 哈 希 值 是 不 一 样 的 。 令 表示 Hash 函 
数 ， 则 有 满足 下 列 条 件 : 

(1) 有 的 输入 可 以 是 任意 长 度 的 消息 或 文件 MM ; 

(2) 的 输出 的 长 度 是 固定 的 ; 

(3) 给 定 h 和 用 ， 计 算 h(M) 是 容易 的 ; 

(4) 给 定 的 描述 ， 找 两 个 不 同 的 消息 M, 和 M,,， 使 得 hM)=h(M,) 是 计算 上 不 可 行 的 。 

Hash 函数 的 安全 性 ， 是 指 在 现 有 的 计算 资源 下 ， 找 到 一 个 碰撞 是 不 可 能 的 。Hash 函数 在 
网 络 安全 应 用 中 ， 不 仅 能 用 于 保护 消息 或 文件 的 完整 性 ， 而 且 也 能 用 作 密 码 信息 的 安全 存储 。 
例如 ， 网 页 防 算 改 应 用 。 网 页 文件 管理 者 首先 用 网 页 文件 生成 系列 Hash 值 ， 并 将 Hash 值 备份 
存放 在 安全 的 地 方 。 然 后 定时 再 计算 这 些 网 页 文件 的 Hash 值 ， 如 果 新 产生 的 Hash 值 与 备份 的 
Hash 值 不 一 样 ， 则 说 明 网 页 文件 被 算 改 了 。 


3.4.2 ”Hash 算法 


Hash 算法 是 指 有 关 产 生 哈 希 值 或 杂凑 值 的 计算 方法 。Hash 算法 又 称 为 杂凑 算法 、 散 列 算 
法 、 哈 希 算法 或 数据 摘要 算法 ， 其 能 够 将 一 个 任意 长 的 比特 串 映 射 到 一 个 固定 长 的 比特 串 。 常 
见 的 Hash 算法 有 MD5、SHA 和 SM3 。 


1. MDS 算法 


MD5 (Message Digest Algorithm 一 5) 算法 是 由 Rivest 设计 的 ， 于 1992 年 公开 ，RFC 1321 
对 其 进行 了 详细 描述 。MD5 以 512 位 数据 块 为 单位 来 处 理 输入 ， 产 生 128 位 的 消息 摘要 ， 即 
MD5 能 产生 128 比特 长 度 的 哈 希 值 。MD5 使 用 广泛 ， 常 用 在 文件 完整 性 检查 。 但 是 ， 据 最 新 
研究 表明 ，MD5 的 安全 性 受到 挑战 ， 王 小 云 教授 及 其 研究 团队 提出 了 Hash 函数 快速 寻找 碰撞 
攻击 的 方法 ， 相 关 研 究 工 作 表明 MD5 的 安全 性 已 经 不 足 。 


2. SHA 算法 


SHA (Secure Hash Algorithm) 算法 由 NIST 开发 ， 并 在 1993 年 作为 联邦 信息 处 理 标准 公 
布 。SHA-1 与 MD5 的 设计 原理 类 似 ， 同 样 也 以 512 位 数据 块 为 单位 来 处 理 输入 ， 产 生 160 位 
的 哈 希 值 ， 具有 比 MD5 更 强 的 安全 性 。SHA 算法 的 安全 性 不 断 改进 ， 已 发 布 的 版 本 有 SHA-2、 
SHA-3。SHA 算法 产生 的 哈 希 值 长 度 有 SHA-224、SHA-256、SHA-384、 SHA-512 等 。 


3. SM3 国产 算法 


SM3 是 国家 密码 管理 局 于 2010 年 公布 的 商用 密码 杂凑 算法 标准 。 该 算法 消息 分 组 长 度 为 
512 比特 ， 输 出 杂凑 值 长 度 为 256 比特 ， 采 用 Merkle-Damgard 结构 。 
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3.4.3 数字 签名 


数字 签名 (Digital Signature) 是 指 签名 者 使 用 私 钥 对 待 签名 数据 的 杂凑 值 做 密码 运算 得 到 
的 结果 。 该 结果 只 能 用 签名 者 的 公 钥 进行 验证 ， 用 于 确认 待 签名 数据 的 完整 性 、 签 名 者 身份 的 
真实 性 和 签名 行为 的 抗 抵 赖 性 。 数 字 签 名 的 目的 是 通过 网 络 信息 安全 技术 手段 实现 传统 的 纸 面 
签字 或 者 盖 章 的 功能 ， 以 确认 交易 当事人 的 真实 身份 ， 保 证 交易 的 安全 性 、 真 实 性 和 不 可 抵赖 
性 。 数 字 签名 具有 与 手写 签名 一 样 的 特点 ， 是 可 信 的 、 不 可 伪造 的 、 不 可 重用 的 、 不 可 抵赖 的 
以 及 不 可 修改 的 。 数 字 签名 至 少 应 满足 以 下 三 个 条 件 : 

(1) 非 否认 。 签 名 者 事后 不 能 否认 自己 的 签名 。 

(2) 真实 性 。 接 收 者 能 验证 签名 ， 而 任何 其 他 人 都 不 能 伪造 签名 。 

(3) 可 鉴别 性 。 当 双方 关于 签名 的 真 伪 发 生 争执 时 ， 第 三 方 能 解决 双方 之 间 发 生 的 争执 。 

一 个 数字 签名 方案 一 般 由 签名 算法 和 验证 算法 组 成 。 签 名 算法 密 钥 是 秘密 的 ， 只 有 签名 的 
人 掌握 ; 而 验证 算法 则 是 公开 的 ， 以 便 他 人 验证 。 典 型 的 数字 签名 方案 有 RSA 签名 体制 、Rabin 
签名 体制 、ElGamal 签名 体制 和 DSS (Data Signature Standard) 标准 。 签 名 与 加 密 很 相似 ， 一 
般 是 签名 者 利用 秘密 密 钥 ( 私 钥 ) 对 需 签名 的 数据 进行 加 密 , 验证 方 利用 签名 者 的 公开 密 钥 ( 公 
钥 ) 对 签名 数据 做 解密 运算 。 签 名 与 加 密 的 不 同 之 处 在 于 ， 加 密 的 目的 是 保护 信息 不 被 非 授 权 
用 户 访问 ， 而 签名 是 使 消息 接收 者 确信 信息 的 发 送 者 是 谁 ， 信 息 是 否 被 他 人 算 改 。 

下 面 我 们 给 出 数字 签名 工作 的 基本 流程 ， 假 设 Alice 需要 签名 发 送 一 份 电子 合同 文件 给 Bob。 
Alice 的 签名 步骤 如 下 : 

第 一 步 ，Alice 使 用 Hash 函数 将 电子 合同 文件 生成 一 个 消息 摘要 ; 

第 二 步 ，Alice 使 用 自己 的 私 钥 ， 把 消息 摘要 加 密 处 理 ， 形 成 一 个 数字 签名 ; 

第 三 步 ，Alice 把 电子 合同 文件 和 数字 签名 一 同 发 送 给 Bob。Alice 的 签名 过 程 如 图 3-4 


se Se 
全 
py Y 
电子 合同 2 
—/ 
带 签名 的 电子 合同 


D>- “| > 
Hash 函数 消息 摘要 用 发 送 者 私 钥 签 名 
图 3-4 数字 签名 过 程 示意 图 
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Bob 收 到 Alice 发 送 的 电子 合同 文件 及 数字 签名 后 , 为 确信 电子 合同 文件 是 Alice 所 认可 的 ， 
验证 步骤 如 下 : 

第 一 步 ，Bob 使 用 与 Alice 相同 的 Hash 算法 ， 计 算 所 收 到 的 电子 合同 文件 的 消息 摘要 ; 

第 二 步 ，Bob 使 用 Alice 的 公 钥 ， 解 密 来 自 Alice 的 加 密 消息 摘要 ， 恢 复 Alice 原来 的 消息 
摘要 ; 

第 三 步 ，Bob 比较 自己 产生 的 消息 摘要 和 恢复 出 来 的 消息 摘要 之 间 的 异同 。 若 两 个 消息 摘 
要 相同 ， 则 表明 电子 合同 文件 来 自 Alice。 如 果 两 个 消息 摘要 的 比较 结果 不 一 致 ， 则 表明 电子 合 
同文 件 已 被 算 改 。 

Bob 验证 数字 签名 的 过 程 如 图 3-5 所 示 。 


ES — > ja 一 | 三 
Eg 上 司 
电子 人 Hash 函数 。 消息 摘要 
二 
E=3 比较 
已 签名 的 电子 合同 


-一 -本 一- 
签名 用 发 送 者 公 钥 解 密 。 ”消息 摘要 
图 3-5 验证 数字 签名 过 程 示意 图 


3.5 ”密码 管理 与 数字 证 书 


本 节 首 先 介绍 密码 管理 ， 包 括 密 钥 管 理 、 密 码 管理 政策 、 密 码 测评 ， 然 后 给 出 数字 证 书 的 
概念 以 及 CA 的 基本 功能 、 数 字 证 书 认 证 系统 组 成 。 


3.5.1 ”密码 管理 

密码 系统 的 安全 性 依赖 于 密码 管理 。 密码 管理 主要 可 以 分 成 三 个 方面 的 内 容 , 即 密 钥 管理 、 
密码 管理 政策 、 密 码 测评 。 

1. 密 钥 管理 


密 钥 管理 主要 围绕 密 钥 的 生命 周期 进行 , 包括 密 钥 生 成 、 密 钥 存 储 、 密 钥 分 发 、 密 钥 使 用 、 
密 钥 更 新 、 密 钥 撤销 、 密 钥 备份 、 密 钥 恢复 、 密 钥 销 毁 、 密 钥 审计 。 

(1) 密 钥 生成 。 密 钥 应 由 密码 相关 产品 或 工具 按照 一 定 标准 产生 ， 通 常 包括 密码 算法 
选择 、 密 钥 长 度 等 。 密 钥 生 成 时 要 同步 记录 密 钥 的 关联 信息 ， 如 拥有 者 、 密 钥 使 用 起 始 时 间 、 
密 钥 使 用 终止 时 间 等 。 
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(2) 密 钥 存储 。 一 般 来 说 密 钥 不 应 以 明文 方式 存储 保管 ， 应 采取 严格 的 安全 防护 措施 ， 防 
止 密 钥 被 非 授权 的 访问 或 算 改 。 

(3) 密 钥 分 发 。 密 钥 分 发 工作 是 指 通过 安全 通道 ， 把 密 钥 安全 地 传递 给 相关 接收 者 ， 防 止 
密 钥 遭受 截取 、 算 改 、 假 冒 等 攻击 ， 保 证 密 钥 机 密 性 、 完 整 性 以 及 分 发 者 、 接 收 者 身份 的 真实 
性 。 目 前 ， 密 钥 分 发 的 方式 主要 有 人 工 、 自 动 化 和 半自动 化 。 其 中 ， 自 动 化 主要 通过 密 钥 交换 
协议 进行 。 

(4) 密 钥 使 用 。 密 钥 使 用 要 根据 不 同 的 用 途 而 选择 正确 的 使 用 方式 。 密 钥 使 用 和 密码 产品 
保持 一 致 性 ， 密 码 算法 、 密 钥 长 度 、 密 码 产 品 都 要 符合 相关 管理 政策 ， 即 安全 合 规 。 使 用 密 钥 
前 ， 要 验证 密 钥 的 有 效 性 ， 如 公 钥 证 书 是 否 有 效 。 密 钥 使 用 过 程 中 要 防止 密 钥 的 泄露 和 替换 ， 
按照 密 钥 安全 策略 及 时 更 换 密 钥 。 建 立 密 钥 应 急 响 应 处 理 机 制 ， 以 应 对 突 发 事件 ， 如 密 钥 丢失 
事件 、 密 钥 泄 密 事件 、 密 钥 算法 缺陷 公布 等 。 

(5) 密 钥 更 新 。 当 密 钥 超过 使 用 期 限 、 密 钥 信 息 泄露 、 密 码 算法 存在 安全 缺陷 等 情况 发 生 
时 ， 相 关 密 钥 应 根据 相应 的 安全 策略 进行 更 新 操作 ， 以 保障 密码 系统 的 有 效 性 。 

(6) 密 钥 撤销 。 当 密 钥 到 期 、 密 钥 长 度 增强 或 密码 安全 应 急事 件 出 现 的 时 候 ， 则 需要 进 
行 撤销 密 钥 ， 更 换 密码 系统 参数 。 撤 销 后 的 密 钥 一 般 不 重复 使 用 ， 以 免 密码 系统 的 安全 性 受 
到 损害 。 

(7) 密 钥 备份 。 密 钥 备份 应 按照 密 钥 安全 策略 ， 采 用 安全 可 靠 的 密 钥 备份 机 制 对 密 钥 进行 
备份 。 备 份 的 密 钥 与 密 钥 存储 要 求 一 致 ， 其 安全 措施 要 求 保障 备份 的 密 钥 的 机 密 性 、 完 整 性 、 
可 用 性 。 

(8) 密 钥 恢复 。 密 钥 恢 复 是 在 密 钥 丢 失 或 损毁 的 情形 下 ， 通 过 密 钥 备份 机 制 ， 能 够 恢复 密 
码 系统 的 正常 运行 。 

(9) 密 钥 销毁 。 根 据 密 钥 管理 策略 ， 可 以 对 密 钥 进行 销毁 。 一 般 来 说 销毁 过 程 应 不 可 道 ， 
无 法 从 销毁 结果 中 恢复 原 密 钥 。 特 殊 的 情况 下 ， 密 钥 管理 支持 用 户 密 钥 恢复 和 司法 密 钥 恢复 。 

(10) 密 钥 审计 。 密 钥 审计 是 对 密 钥 生命 周期 的 相关 活动 进行 记录 ， 以 确保 密 钥 安全 合 规 ， 
违规 情况 可 查 可 追溯 。 


2. 密码 管理 政策 


密码 管理 政策 是 指 国家 对 密码 进行 管理 的 有 关 法 律 政策 文件 、 标准 规范 、 安全 质量 测评 等 。 
目前 ， 国 家 已 经 颁布 了 《商用 密码 管理 条 例 》， 内 容 主要 有 商用 密码 的 科研 生产 管理 、 销 售 管 
理 、 使 用 管理 、 安 全 保密 管理 。《 中 华人 民 共 和 国 密码 法 》 也 已 颁布 实施 ， 相 关 工 作 正在 推进 。 
《中 华人 民 共 和 国 密码 法 》 明 确 规定 ， 密 码 分 为 核心 密码 、 普 通 密码 和 商用 密码 ， 实 行 分 类 管 
理 。 核 心 密码 、 普 通 密码 用 于 保护 国家 秘密 信息 ， 属 于 国家 秘密 ， 由 密码 管理 部 门 依法 实行 严 
格 统一 管理 。 商 用 密码 用 于 保护 不 属于 国家 秘密 的 信息 ， 公 民 、 法 人 和 其 他 组 织 均 可 依法 使 用 
商用 密码 保护 网 络 与 信息 安全 。 

为 规范 商用 密码 产品 的 设计 、 实 现 和 应 用 ， 国 家 密码 管理 局 发 布 了 一 系列 密码 行业 标准 ， 
主要 有 《电子 政务 电子 认证 服务 管理 办 法 》《 电 子 政务 电子 认证 服务 业务 规则 规范 》 《密码 模 
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块 安全 检测 要 求 》《 安 全 数据 库 产品 密码 检测 准则 》《 安 全 隔离 与 信息 交换 产品 密码 检测 指南 》 
《安全 操作 系统 产品 密码 检测 准则 》《 防 火 墙 产品 密码 检测 准则 》 等 。 


3. 密码 测评 


密码 测评 是 指 对 相关 密码 产品 及 系统 进行 安全 性 、 合 规 性 评估 ， 以 确保 相关 对 象 的 密码 安 
全 有 效 ， 保 障 密码 系统 的 安全 运行 。 目 前 ， 国 家 设立 了 商用 密码 检测 中 心 ， 其 主要 职责 包括 : 
商用 密码 产品 密码 检测 、 信 息 安 全 产品 认证 密码 检测 、 含 有 密码 技术 的 产品 密码 检测 、 信 息 安 
全 等 级 保护 商用 密码 测评 、 商 用 密码 行政 执法 密码 鉴定 、 国 家 电子 认证 根 CA 建设 和 运行 维护 、 
密码 技术 服务 、 商 用 密码 检测 标准 规范 制订 等 。 


3.5.2 ”数字 证 书 


数字 证 书 (Digital Certificate〉 也 称 公 钥 证 书 ， 是 由 证 书 认证 机 构 (CA) 签名 的 包含 公开 
密 钥 拥有 者 信息 、 公 开 密 钥 、 签 发 者 信息 、 有 效 期 以 及 扩展 信息 的 一 种 数据 结构 。 如 图 3-6 所 
示 是 一 个 国外 机 构 颁 发 的 数字 证 书 样式 。 


Data: 
Version: vi (0x0) 
Serial Nuwmber 91 (0x5b) 
Signature Algoritlon: PKCS #1 MD5 With RSA Encryption 
Issuer: CN=Chini Krishnan, OU=Network Systems Division, O=ValiCert 
Incorporated, C=US 
Valid ity: 
Not Before: Tue Oct 28 120820 1997 
Not After Wed Oct28 12:08:20 1998 
Subject: CN=Brian Tretick, OU=IS5, O=Emst & Young, C=US 
Subject Public Key Info: 
Algorithm: PKCS #1 RSA Encryption 
Public Key: 
Mod ulus: 
00:b8:78.74.04.ca.b4.68:83:6d.61.48:1e:22:40.31.5ac2: 
1f:2e:aa9b.b4.9d:7d:4d2e.85:77.89.c6:5b:bb;5a:50:69 
4.3610:73:d1.8224:e4.3d.4e.93:c8.9f17.eb0b2a2e: 
30.2e30;58.44:49:b5:49:26:de 人 
Public Exp onent: 65537 (0x10001) 
Si DR 
Algorithm: PKCS #1 MD5 With RSA Encryption 
Signature: 
55.¢130:30:bl:d4:d4:a4:f224:10:45:0c.ec:26:66 .8a11.a4.e3:3c; 
b0'25:cd: d3.de:09.a7.36:d5:102e:43:90:67.c5f4:b5 fe:456927; 
d7.0614¢ bB468:c1:7e fc:b2:e 2c:93:95:1b:02 e063e:4a:50: 
4 人 9f0766:12b6t0063026:465d8c 7df7b8:d2xcb 
29xd348a:d100:aa'44:57.4910282e:04:4a67.553237.5a29: 
5fdad5b5:d98a26c026aa5.58:d8:df65:6:7f18:a64ceall: 
Segc 


3-6 数字 证 书 示 意图 


为 规范 数字 证 书 的 格式 ， 国 家 制定 了 《信息 安全 技术 公 钥 基础 设施 数字 证 书 格式 》( 征 
求 意见 稿 ) 。 其 中 ， 数 字 证 书 的 基本 信息 域 格式 要 求 如 表 3-2 所 示 。 


图 56 荐 。 信息 安全 工程 师 教程 第 2 版 ) 


表 3-2 数字 证 书 基本 信息 域 


序号 描 述 
1 版 本 号 
史 SerialNumber 序列 号 
3 Signature 签名 算法 
4 issuer 颁发 者 
5 validity 有 效 日 期 
6 subject 主体 
7 subjectPublicKeyInfo 主体 公 钥 信息 
8 issuerUniqueID 颁发 者 唯一 标识 符 
9 subjectUniqueID 主体 唯一 标识 符 
10 extensions 扩展 项 


用 户 证 书 的 结构 实例 如 表 3-3 所 示 。 


表 3-3 用 户 证 书 的 结构 实例 
版 本 号 (version) 
证 书 序列 号 (serialNumber) 
签名 算法 标识 符 (signature) 
颁发 者 名 称 (issuer) 
Ee 起 始 有 效 期 
有 效 期 (validity ) 终止 有 效 期 
countryName (国家 ) 
stateOrProvinceName (省 份 ) 
localityName (地 市 ) 
organizationName (组 织 名 称 ) 
organizationalUnitName (机构 名 称 ) 
CommanName 〔 用 户 名 称 ) 


主体 名 称 (subject) 


主体 公 钥 信息 (subjectPublicKeyInfo) 
颁发 机 构 的 密 钥 标识 符 authorityKeyIdentifier 
主体 密 钥 标识 符 subjectKeyIdentifier 

CRL 分 发 点 CRLDistributionPoints 


数字 证 书 按 类 别 可 分 为 个 人 证 书 、 机 构 证 书 和 设备 证 书 , 按 用 途 可 分 为 签名 证 书 和 加 密 证 书 。 
其 中 ， 签 名 证 书 是 用 于 证 明 签 名 公 钥 的 数字 证 书 。 加 密 证 书 是 用 于 证 明 加 密 公 钥 的 数字 证 书 。 

当前 ， 为 更 好 地 管理 数字 证 书 , 一 般 是 基于 PKI 技术 建立 数字 证 书 认证 系统 (简称 为 CA)。 
CA 提供 数字 证 书 的 申请 、 审 核 、 签 发 、 查 询 、 发 布 以 及 证 书 吊销 等 全 生命 周期 的 管理 服务 。 
数字 证 书 认 证 系统 的 构成 及 部 署 如 图 3-7 所 示 ， 主 要 有 目录 服务 器 、OCSP 服务 器 、 注 册 服 务 
器 、 签 发 服务 器 等 。 
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图 3-7 ”数字 证 书 认证 系统 构成 及 部 署 


3.6 ”安全 协议 


本 节 介 绍 常见 的 密 钥 交 换 协 议 及 SSH。 
3.6.1 “Diffie-Hellman 密 钥 交换 协议 


W.Diffie 和 ME. Hellman 于 1976 年 首次 提出 一 种 共享 秘密 的 方案 , 简称 Diffie-Hellman 密 

钥 交换 协议 。Diffie-Hellman 密 钥 交换 协议 基于 求解 离散 对 数 问题 的 困难 性 ， 即 对 于 下 述 等 式 : 
C=MmodP 

其 中 ，d 称 为 模 己 的 以 C 为 底数 的 M 的 对 数 ， 在 已 知 C 和 尸 的 前 提 下 ， 由 4 求 M 很 容易 ， 只 
相当 于 进行 一 次 指数 计算 。 而 再 由 M 反 过 来 求 4， 则 需要 指数 级 次 计算 。 随 着 P 取得 足够 大 ， 
就 能 实现 足够 的 安全 强度 。 现 在 假设 Alice 和 Bob 使 用 Diffie-Hellman 密 钥 交换 协议 ， 在 一 个 
不 安全 的 信道 上 交换 密 钥 ， 则 其 操作 步骤 如 下 : 

第 一 步 ，Alice 和 Bob 确定 一 个 适当 的 素数 p 和 整数 a ， 并 使 得 是 书 的 原 根 ， 其 中 和 
可 以 公开 。 
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第 二 步 ，Alice 秘密 选取 一 个 整数 a。， 计 算 y =Q“mod p ， 并 把 yy 发 送 给 Bob。 

第 三 步 ，Bob 秘密 选取 一 个 整数 as, 计算 y=Q~”mod p ， 并 把 韦 发 送 给 Alice。 芭 和 拘 
就 是 所 说 的 Diffie-Hellman 公开 值 。 

第 四 步 ，Alice 和 Bob 双方 分 别 计算 出 共享 密 钥 玉 ， 即 : 

Alice 通过 计算 尺 =(y, 放 modp 生成 密 钥 天; 

Bob 通过 计算 玉 =(y。 "mod p 生成 密 钥 天。 

因为 : 


K=(ys)/*modp =(a®*modp)/*modp 
=(a® J*modp=a®”*modp 
=(a* modp=(a“*modp)/”modp 
=(ya /modp 
所 以 Alice 和 Bob 生成 的 密 钥 玉 是 相同 的 ， 这 样 一 来 就 实现 了 密 钥 的 交换 。Alice 和 Bob 
采用 Diffie-Hellman 密 钥 交 换 的 安全 性 基于 求解 离散 对 数 问题 的 困难 性 , 即 从 也 或 者 区 以 及 
计算 aa 或 me 在 计算 上 是 不 可 行 的 。 


3.6.2 SSH 


SSH 是 Secure Shell 的 缩写 ， 即 “安全 外 壳 ”， 它 是 基于 公 钥 的 安全 应 用 协议 ， 由 SSH 传 
输 层 协议 、SSH 用 户 认证 协议 和 SSH 连接 协议 三 个 子 协议 组 成 ， 各 协议 分 工 合作 ， 实 现 加 密 、 
认证 、 完整 性 检查 等 多 种 安全 服务 。 SSH 最 初 是 芬兰 的 学 术 研 究 项 目 , 1998 年 开始 商业 化 。 SSH 
研究 开发 的 目的 是 以 一 种 渐进 的 方式 来 增强 网 络 安全 ， 通 过 利用 现代 密码 技术 ， 增 强 网 络 中 非 
安全 的 服务 。 例 如 Telnet、Rlogin、FTP 等 ， 实 现 服务 器 认证 、 用 户 认证 及 安全 加 密 网 络 连 接 服 
务 。 目 前 ，SSH 已 有 两 个 版 本 SSH1 和 SSH2， 其 中 SSH1 因 存 在 漏洞 而 被 停 用 ， 现 在 用 户 使 用 
的 是 SSH2。SSH2 的 协议 结构 如 图 3-8 所 示 。 

SSH 传输 层 协议 提供 算法 协商 和 密 钥 交换 ， 并 实现 服务 器 的 认证 ， 最 终 形 成 一 个 加 密 的 安 
全 连接 ， 该 安全 连接 提供 完整 性 、 保 密 性 和 压缩 选项 服务 。SSH 用 户 认证 协议 则 利用 传输 层 的 
服务 来 建立 连接 ， 使 用 传统 的 口令 认证 、 公 钥 认 证 、 主 机 认证 等 多 种 机 制 认 证 用 户 。SSH 连接 
协议 在 前 面 两 个 协议 的 基础 上 ， 利 用 已 建立 的 认证 连接 ， 并 将 其 分 解 为 多 种 不 同 的 并 发 逻辑 通 
道 ， 支 持 注册 会 话 隧道 和 TCP 转发 (TCP-forwarding) ， 而 且 能 为 这 些 通道 提供 流 控 服 务 以 及 
通道 参数 协商 机 制 。SSH 的 工作 机 制 共 分 7 个 步骤 ， 如 图 3-9 所 示 。 目 前 ， 用 户 为 了 认证 服务 
器 的 公 钥 真实 性 ， 有 三 种 方法 来 实现 。 第 一 种 ， 用 户 直接 随身 携带 含有 服务 器 公 钥 的 拷贝 ， 在 
进行 密 钥 交换 协议 前 ， 读 入 客户 计算 机 ; 第 二 种 ， 从 公开 信道 下 载 服务 器 的 公 钥 和 它 对 应 的 指 
纹 后 ， 先 通过 电话 验证 服务 器 的 公 钥 指 纹 的 真实 性 ， 然 后 用 HASH 软件 生成 服务 器 的 公 钥 新 指 
纹 ， 比 较 下 载 的 指纹 和 新 生成 的 指纹 ， 若 比较 结果 相同 ， 则 表明 服务 器 的 公 钥 是 真实 的 ， 否 则 
服务 器 的 公 钥 是 虚假 的 ， 第 三 种 ， 通 过 PKI 技术 来 验证 服务 器 。 
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SSH2 协 议 协议 扩展 
算法 协商 
认证 类 型 : 
公 钥 , 密码 , 无 
| 服务 器 认证 
服务 器 认证 获取 已 Hash 处 理 过 的 证 书 
5 己 处 理 过 的 服务 器 公 钥 
宕 钼 交 从 LDAP/HTTP 服 务 器 
eT 验证 服务 器 证 书 / 公 负 
用 户 认证 
i 
服务 请 求 


图 3-8 SSH2 协议 结构 示意 图 


SSH 服务 器 | [93] 初始 化 连接 请 求 ， 发 送 服务 器 公 铀 


[2]SSH 连接 请 求 


存储 服务 器 
公 钥 的 Hash 值 


客户 验证 服务 器 公 急 
SITTEI [名 客 户 验证 服务 器 公 钥 
[6] 认 证 用 户 
[7] 使 用 SSH Tunnel 


[客户 获取 服务 器 的 证 书 


3-9 SSH 工作 流程 图 


在 实际 的 应 用 中 ，SSH 在 端口 转发 技术 (如 图 3-10 所 示 ) 的 基础 上 ， 能 够 支持 远程 登录 
(CTelnet) 、rsh、rlogin、 文 件 传输 (scp) 等 多 种 安全 服务 。Linux 系统 一 般 提供 SSH 服务 ，SSH 
的 服务 进程 端口 通常 为 22。 


二 oo 
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SSH2 会 话 


主机 al.bl.cl.dl 主机 a2.b2.c2.d2 


SSH2 客 户 端 
(或 服务 端 ) 


SSH2 服 务 端 
(或 客户 端 ) 


监听 127.0.0.1 的 转发 到 127.0.0.1 的 


;999 端 口 123 端 可 
TCP 窜 户 端 连接 到 主机 监听 0.0.0jo 的 TCP 服 务 端 
127.0.0.1 的 999 端 口 123 端 由 


图 3-10 SSH 端口 转发 示意 图 

虽然 SSH 是 一 个 安全 协议 ， 但 是 也 有 可 能 受到 中 间 人 攻击 和 拒绝 服务 攻击 。 
3.7 ”密码 学 网 络 安全 应 用 

密码 技术 广泛 应 用 在 网 络 信息 系统 的 安全 保障 的 各 个 方面 ， 本 节 分 析 密 码 技术 的 应 用 场景 
类 型 ， 给 出 了 路 由 器 、 网 站 、 电 子 邮 件 等 应 用 参考 。 
3.7.1 ”密码 技术 常见 应 用 场景 类 型 

密码 技术 主要 应 用 场景 类 型 阐述 如 下 。 

1. 网 络 用户 安 全 


采用 密码 技术 保护 网 络 用 户 的 安全 措施 主要 有 : 一 是 基于 公 钥 密码 学 技术 ,把 用 户 实体 信 
息 与 密码 数据 绑 定 ， 形 成 数字 证 书 ， 标 识 网 络 用 户 身份 ， 并 提供 身份 鉴别 服务 ， 二 是 使 用 加 密 
技术 ， 保 护 网 络 用 户 的 个 人 敏感 信息 。 


2. 物理 和 环境 安全 


采用 密码 技术 保护 物理 和 环境 的 安全 措施 主要 有 : 一 是 对 物理 区 域 访问 者 的 身份 进行 鉴 
别 ， 保 证 来 访 人 员 的 身份 真实 性 ;二 是 保护 电子 门禁 系统 进出 记录 的 存储 完整 性 和 机 密 性 ; 三 
是 保证 视频 监控 音像 记录 的 存储 完整 性 和 机 密 性 。 


3. 网 络 和 通信 安全 
采用 密码 技术 保护 网 络 和 通信 的 安全 措施 主要 有 : 一 是 对 通信 实体 进行 双向 身份 鉴别 ， 保 
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证 通信 实体 身份 的 真实 性 ; 二 是 使 用 数字 签名 保证 通信 过 程 中 数据 的 完整 性 ;三 是 对 通信 过 程 
中 进出 的 敏感 字段 或 通信 报 文 进行 加 密 ; 四 是 使 用 密码 安全 认证 协议 对 网 络 设备 进行 接 入 认 
证 ， 确 保 接 入 的 设备 身份 的 真实 性 。 

4. 设备 和 计算 安全 

采用 密码 技术 保护 设备 和 计算 的 安全 措施 主要 有 : 一 是 使 用 密码 安全 认证 协议 对 登录 设备 
用 户 的 身份 进行 鉴别 ; 二 是 使 用 Hash 函数 及 密码 算法 建立 可 信和 的 计算 环境 ; 三 是 使 用 数字 签 
名 验证 重要 可 执行 程序 来 源 的 真实 性 ; 四 是 使 用 加 密 措 施 保护 设备 的 重要 信息 资源 ， 如 口令 文 
件 ; 五 是 使 用 SSH 及 SSL 等 密码 技术 ， 建 立 设备 远程 管理 安全 信息 传输 通道 。 

S. 应 用 和 数据 安全 


采用 密码 技术 保护 应 用 和 数据 的 安全 措施 主要 有 : 一 是 使 用 安全 协议 及 数字 证 书 对 登录 用 
户 进行 身份 鉴别 ， 保 证 应 用 系统 用 户 身份 的 真实 性 ; 二 是 加 密 应 用 系统 访问 控制 信息 ; 三 是 应 
用 SSH 及 SSL 等 密码 技术 ， 传 输 重 要 数据 ， 保 护 重要 数据 的 机 密 性 和 完整 性 ， 四 是 加 密 存储 
重要 数据 ， 防 止 敏感 数据 泄密 ， 五 是 使 用 Hash 函数 、 数 字 签名 等 密码 技术 ， 保 护 应 用 系统 的 
完整 性 ， 防 止 黑 客 攻击 算 改 。 


6. 业务 应 用 创新 
采用 密码 技术 进行 业务 应 用 创新 的 措施 主要 有 : 一 是 利用 数字 证 书 和 数字 签名 等 密码 技 


术 ， 构 建 网 络 发 票 ， 二 是 使 用 Hash 函数 等 密码 技术 ， 构 建 区 块 链 ， 三 是 利用 密码 技术 ， 建 立 
电子 证 照 。 


3.7.2 路 由 器 安全 应 用 参考 


路 由 器 是 网 络 系统 中 的 核心 设备 ， 其 安全 性 直接 影响 着 整个 网 络 。 目 前 ， 路 由 器 面临 的 威 
胁 有 路 由 信息 交换 的 自 改 和 伪造 、 路 由 器 管理 信息 泄露 、 路 由 器 非法 访问 等 。 为 了 解决 路 由 器 
的 安全 问题 ， 密 码 学 现 已 被 广泛 应 用 到 路 由 器 的 安全 防范 工作 中 ， 其 主要 用 途 如 下 。 


1. 路 由 器 口令 管理 


为 了 路 由 器 口令 的 安全 存储 , 路 由 器 先 用 MD5 对 管理 员 口令 信息 进行 Hash 计算 , 然后 再 
保存 到 路 由 器 配置 文件 中 。 


2. 远程 安全 访问 路 由 器 


远程 访问 路 由 器 常用 Telnet， 但 Telnet 容易 泄露 敏感 的 口令 信息 ， 因 此 ， 管 理 员 为 增强 路 
由 器 的 安全 管理 ， 使 用 SSH 替换 Telnet。 
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3. 路 由 信息 交换 认证 


路 由 器 之 间 需 要 进行 路 由 信息 的 交换 ， 以 保证 网 络 路 由 正常 进行 ， 因 此 需要 路 由 器 之 间 发 
送 路 由 更 新 包 。 为 了 防止 路 由 欺诈 ， 路 由 器 之 间 对 路 由 更 新 包 都 进行 完整 性 检查 ， 以 保证 路 由 
完整 性 。 目 前 ， 路 由 器 常用 MD5-HMAC 来 实现 。 如 果 路 由 信息 在 传输 过 程 中 被 算 改 了 ， 接 收 
路 由 器 通过 重新 计算 收 到 路 由 信息 的 Hash 值 ， 然 后 与 发 送 路 由 器 的 路 由 信息 的 Hash 值 进行 比 
较 ， 如 果 两 个 Hash 值 不 相同 ， 则 接收 路 由 器 拒绝 路 由 更 新 包 ， 如 图 3-11 所 示 。 


馈 而 更 新 包 ] 多 由 各 A a i EE 
hit ] 从 3 - 5 A ashif 工 
Hash 值 [路 由 更 新 包 ] CHash 值 》 二 = [Hash 值 


图 3-11 路 由 器 信息 交换 认证 示意 图 


3.7.3 ”Web 网 站 安全 应 用 参考 


Web 网 站 是 网 络 应 用 的 重要 组 成 部 分 ， 许 多 重要 的 网 络 应 用 业务 如 网 络 银行 、 新 闻 发 布 、 
电子 商务 等 都 基于 Web 服务 开展 ， 其 安全 性 变 得 日 益 重 要 。Web 网 站 已 成 为 黑客 攻击 的 重点 目 
标 ， 其 安全 威胁 主要 有 信息 泄露 、 非 授权 访问 、 网 站 假冒 、 拒 绝 服务 等 。 密 码 学 在 Web 方面 的 
安全 应 用 有 许多 ， 包 括 Web 用 户 身份 认证 、Web 服务 信息 加 密 处 理 以 及 Web 信息 完整 性 检查 
等 。 目 前 ， 重 要 信息 网 站 通过 数字 证 书 和 SSL 共同 保护 Web 服务 的 安全 。 利 用 SSL 和 数字 证 
书 ， 可 以 防止 浏览 器 和 Web 服务 器 间 的 通信 信息 泄密 或 被 算 改 和 伪造 。 


3.7.4 ”电子 邮件 安全 应 用 参考 


电子 邮件 是 最 常见 的 网 络 应 用 ， 但 是 普通 的 电子 邮件 是 明文 传递 的 ， 电 子 邮 件 的 保密 性 难以 
得 到 保证 , 同时 电子 邮件 的 完整 性 也 存在 安全 问题 ,针对 电子 邮件 的 安全 问题 , 人 们 利用 PGP(Pretty 
Good Privacy) 来 保护 电子 邮件 的 安全 。PGP 是 一 种 加 密 软件 ， 目 前 最 广泛 地 用 于 电子 邮件 安全 。 
它 能 够 防止 非 授权 者 阅读 邮件 ， 并 能 对 用 户 的 邮件 加 上 数字 签名 ， 从 而 使 收 信人 可 以 确信 发 信人 的 
身份 。 PGP 应 用 了 多 种 密码 技术 ， 其 中 密 钥 管理 算法 选用 RSA、 数 据 加 密 算法 IDEA、 完 整 性 检测 
和 数字 签名 算法 ， 采 用 了 MD5 和 RSA 以 及 随机 数 生成 器 ，PGP 将 这 些 密码 技术 有 机 集成 在 一 起 ， 
利用 对 称 和 非 对 称 加 密 算 法 的 各 自 优点 ， 实 现 了 一 个 比较 完善 的 密码 系统 。 


3.8 本章 小 结 
本 章 讲 述 了 密码 学 的 基本 概念 以 及 常见 的 密码 体制 、 密 码 算法 ， 分 析 了 杂凑 函数 、 数 字 签 


名 、 国 产 密码 算法 、 安 全 协议 等 的 工作 原理 。 同 时 ， 本 章 还 分 析 了 密码 在 网 络 安全 方面 的 常见 
应 用 场景 类 型 ， 并 以 路 由 器 、Web 服务 、 电 子 邮件 等 为 例 ， 给 出 安全 应 用 参考 。 
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4.1 网 络 安全 体系 概述 


网 络 安全 保障 是 一 项 复杂 的 系统 工程 ， 是 安全 策略 、 多 种 技术 、 管 理 方法 和 人 员 安 全 素质 
的 综合 。 本 节 从 网 络 安全 体系 的 角度 探讨 网 络 安全 保障 建设 ， 其 主要 内 容 包括 网 络 安全 体系 的 
概念 、 特 征 和 用 途 。 


4.1.1 网络 安全 体系 概念 


现代 的 网 络 安全 问题 变化 莫 测 ， 要 保障 网 络 系统 的 安全 ， 应 当 把 相应 的 安全 策略 、 各 种 安 
全 技术 和 安全 管理 融合 在 一 起 ， 建 立 网 络 安全 防御 体系 ， 使 之 成 为 一 个 有 机 的 整体 安全 屏障 。 

一 般 而 言 ， 网 络 安全 体系 是 网 络 安全 保障 系统 的 最 高 层 概念 抽象 ， 是 由 各 种 网 络 安全 单元 
按照 一 定 的 规则 组 成 的 ， 共 同 实现 网 络 安全 的 目标 。 网 络 安 全 体系 包括 法 律 法 规 政策 文件 、 安 
全 策略 、 组 织 管理 、 技 术 措施 、 标 准 规范 、 安 全 建设 与 运营 、 人 员 队 伍 、 教 育 培训 、 产 业 生态 、 
安全 投入 等 多 种 要 素 。 网 络 安全 体系 构建 已 成 为 一 种 解决 网 络 安全 问题 的 有 效 方法 ， 是 提升 网 
络 安全 整体 保障 能 力 的 高 级 解决 方案 。 


4.1.2 网络 安全 体系 特征 


一 般 来 说 ， 网 络 安全 体系 的 主要 特征 如 下 : 

(1) 整体 性 。 网 络 安全 体系 从 全 局 、 长 远 的 角度 实现 安全 保障 ， 网 络 安全 单元 按照 一 定 的 
规则 ， 相 互 依赖 、 相 互 约束 、 相 互 作用 而 形成 人 机 物 一 体 化 的 网 络 安全 保护 方式 。 

(2) 协同 性 。 网 络 安全 体系 依赖 于 多 种 安全 机 制 ， 通 过 各 种 安全 机 制 的 相互 协作 ， 构 建 系 
统 性 的 网 络 安全 保护 方案 。 

(3) 过 程 性 。 针 对 保护 对 象 ， 网 络 安全 体系 提供 一 种 过 程式 的 网 络 安全 保护 机 制 ， 覆盖 保 
护 对 象 的 全 生命 周期 。 

(4) 全 面 性 。 网 络 安全 体系 基于 多 个 维度 、 多 个 层面 对 安全 威胁 进行 管控 ， 构 建 防护 、 检 
测 、 响 应 、 恢 复 等 网 络 安全 功能 。 

(5) 适应 性 。 网 络 安全 体系 具有 动态 演变 机 制 ， 能 够 适应 网 络 安全 威胁 的 变化 和 需求 。 
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4.1.3 ”网 络 安全 体系 用 途 


网 络 安全 体系 的 建立 是 一 个 复杂 持续 建设 和 人 迭代 演进 的 过 程 ， 但 是 网 络 安全 体系 对 于 一 个 
组 织 有 重大 意义 ， 主 要 体现 为 : 

(1) 有 利于 系统 性 化 解 网 络 安全 风险 ， 确 保 业 务 持续 开展 并 将 损失 降 到 最 低 限度 ; 

(2) 有 利于 强化 工作 人 员 的 网 络 安全 意识 ， 规 范 组 织 、 个 人 的 网 络 安全 行为 ; 

(3) 有 利于 对 组 织 的 网 络 资产 进行 全 面 系统 的 保护 ， 维 持 竞争 优势 ; 

(4) 有 利于 组 织 的 商业 合作 ; 

(5) 有 利于 组 织 的 网 络 安全 管理 体系 认证 ， 证 明 组 织 有 能 力 保障 重要 信息 ， 能 提高 组 织 的 
知名 度 与 信任 度 。 


4.2 网 络 安全 体系 相关 安全 模型 


本 节 主 要 讲述 BLP 机 密 性 模型 、BiBa 完整 性 模型 、 信 息 流 模型 、 信 息 保障 模型 、 能 力 成 
熟 度 模型 、 纵 深 防 御 模 型 、 分 层 防护 模型 、 等 级 保护 模型 、 网 络 生存 模型 。 


4.2.1 BLP 机密 性 模型 


Bell-LaPadula 模型 是 由 David Bell 和 Leonard LaPadula 提出 的 符合 军事 安全 策略 的 计算 机 
安全 模型 ， 简 称 BLP 模型 。 该 模型 用 于 防止 非 授 权 信 息 的 扩散 ， 从 而 保证 系统 的 安全 。BLP 
模型 有 两 个 特性 : 简单 安全 特性 、* 特 性 。 

(1) 简单 安全 特性 。 主 体 对 客体 进行 读 访问 的 必要 条 件 是 主体 的 安全 级 别 不 小 于 客体 的 安 
全 级 别 ， 主 体 的 范畴 集合 包含 客体 的 全 部 范畴 ， 即 主体 只 能 向 下 读 ， 不 能 向 上 读 。 

(2) * 特 性 。 一 个 主体 对 客体 进行 写 访问 的 必要 条 件 是 客体 的 安全 级 支配 主体 的 安全 级 ， 
即 客体 的 保密 级 别 不 小 于 主体 的 保密 级 别 ， 客 体 的 范畴 集合 包含 主体 的 全 部 范畴 ， 即 主体 只 能 
向 上 写 ， 不 能 向 下 写 。 

如 图 4-1 所 示 ， 信 息 流 只 向 高 级 别 的 客体 方向 流动 ， 而 高 级 别 的 主体 可 以 读 取 低级 别 的 主 
体 信 息 。 
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图 4-1 Bell-LaPadula 模型 安全 作用 示意 图 
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BLP 机 密 性 模型 可 用 于 实现 军事 安全 策略 (Miliary Security Policy) 。 该 策略 最 早 是 美国 国防 
部 为 了 保护 计算 机 系统 中 的 机 密 信息 而 提出 的 一 种 限制 策略 。 其 策略 规定 , 用 户 要 合法 读 取 某 信息 ， 
当 且 仅 当 用 户 的 安全 级 大 于 或 等 于 该 信息 的 安全 级 ， 并 且 用 户 的 访问 范畴 包含 该 信息 范畴 时 。 为 了 
实现 军事 安全 策略 ， 计 算 机 系统 中 的 信息 和 用 户 都 分 配 了 一 个 访问 类 ， 它 由 两 部 分 组 成 : 

。 ”安全 级 : 安全 级 别 对 应 诸如 公开 、 秘 密 、 机 密 和 绝密 等 名 称 ; 

。 ”范畴 集 : 指 安全 级 的 有 效 领 域 或 信息 所 归属 的 领域 ， 如 人 事 处 、 财 务 处 等 。 

安全 级 的 顺序 一 般 规定 为 : 公开 < 秘密 二 机 密 坪 绝密。 两 个 范畴 集 之 间 的 关系 是 包含 、 被 包 
含 或 无 关 。 在 一 个 访问 类 中 , 仅 有 单一 的 安全 级 ， 而 范畴 可 以 包含 多 个 。 下 面 给 出 系统 访问 类 例子 : 

。 文件 F 访问 类 : { 机 密 : 人 事 处 ， 财 务 处 }; 

。 用 户 A 访问 类 : { 绝 密 : 人事 处 }; 

。 用户 B 访 问 类 : {绝密 人 事 处 ， 财 务 处 ， 科 技 处 } 。 

按照 军事 安全 策略 规定 ， 用 户 B 可 以 阅读 文件 F， 因 为 用 户 B 的 级 别 高 ， 涵 盖 了 文件 的 范 
畴 。 而 用 户 A 的 安全 级 虽然 高 ， 但 不 能 读 文件 FE， 因 为 用 户 A 缺少 了 “财务 处 ”范畴 。 


4.2.2 ”BiBa 完整 性 模型 


BiBa 模型 主要 用 于 防止 非 授 权 修改 系统 信息 ， 以 保护 系统 的 信息 完整 性 。 该 模型 同 BLP 
模型 类 似 ， 采 用 主体 、 客 体 、 完 整 性 级 别 描述 安全 策略 要 求 。BiBa 具有 三 个 安全 特性 : 简单 安 
全 特性 、* 特 性 、 调 用 特性 。 模 型 的 特性 曾 述 如 下 。 

(1) 简单 安全 特性 。 主 体 对 客体 进行 修改 访问 的 必要 条 件 是 主体 的 完整 性 级 别 不 小 于 客体 
的 完整 性 级 别 ， 主 体 的 范畴 集合 包含 客体 的 全 部 范畴 ， 即 主体 不 能 向 下 读 ， 如 图 4-2 所 示 。 

(2) * 特性 。 主 体 的 完整 性 级 别 小 于 客体 的 完整 性 级 别 ， 不 能 修改 客体 ， 即 主体 不 能 向 上 
写 ， 如 图 4-3 所 示 。 


高 人 主体 八 客体 2 
| 高 修改 客体 
完整 性 级 别 X 
交 | 完整 性 级 别 
低 观察 : 
客体 1 低 主体 
图 4-2 BiBa 模型 简单 安全 特性 示意 图 图 4-3 BiBa 模型 * 特 性 示意 图 
(3) 调用 特性 。 主 体 的 完整 性 级 别 小 于 另 一 个 主体 
的 完整 性 级 别 ， 不 能 调用 另 一 个 主体 ， 如 图 4-4 所 示 。 高 调用 主体 ? 
4.2.3 ”信息 流 模型 完整 性 级 别 
信息 流 模型 是 访问 控制 模型 的 一 种 变形 ,简称 FM 。 低 y 主体 


该 模型 不 检查 主体 对 客体 的 存 取 ， 而 是 根据 两 个 客体 的 。 图 4-4 BiBa 模型 调用 特性 示意 图 
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安全 属性 来 控制 从 一 个 客体 到 另 一 个 客体 的 信息 传输 。 一 般 情况 下 ， 信 息 流 模型 可 表示 为 
FM=(N，P，SC,@, 一 )， 其 中 ，N 表示 客体 集 ，P 表示 进程 集 ，SC 表示 安全 类 型 集 ，@ 表 
示 支 持 结合 、 交 换 的 二 进 制 运算 符 ，> 表示 流 关 系 。 一 个 安全 的 FM 当 且 仅 当 执行 系列 操作 后 ， 
不 会 导致 流 与 流 关系 > 产生 冲突 。 

信息 流 模型 可 以 用 于 分 析 系统 的 隐蔽 通道 ， 防 止 敏感 信息 通过 隐蔽 通道 泄露 。 隐 蔽 通道 通 
常 表现 为 低 安全 等 级 主体 对 于 高 安全 等 级 主体 所 产生 信息 的 间接 读 取 ， 通 过 信息 流 分 析 以 发 现 
隐蔽 通道 ， 阻 止 信息 泄露 途径 。 


4.2.4 ”信息 保障 模型 


1.PDRR 模型 


美国 国防 部 提出 了 PDRR 模型 ， 其 中 PDRR 是 Protection、Detection、Recovery、Response 
英文 单词 的 缩写 。PDRR 改进 了 传统 的 只 有 保护 的 单一 安全 防御 思想 ， 强 调 信 息 安 全 保障 的 四 
个 重要 环节 。 保 护 (Protection) 的 内 容 主 要 有 加 密 机 制 、 数 据 签名 机 制 、 访 问 控制 机 制 、 认 证 
机 制 、 信 息 隐藏 、 防 火 墙 技术 等 。 检 测 (Detection) 的 内 容 主要 有 入 侵 检测 、 系 统 脆弱 性 检测 、 
数据 完整 性 检测 、 攻 击 性 检测 等 。 恢 复 (Recovery) 的 内 容 主要 有 数据 备份 、 数 据 修复 、 系 统 
恢复 等 。 响 应 〈Response) 的 内 容 主要 有 应 急 策略 、 应 急 机 制 、 应 急 手 段 、 入 侵 过 程 分 析 及 安 
全 状态 评估 等 。 


2. P2DR 模型 


P2DR 模型 的 要 素 由 策略 (Policy) 、 防 护 〈Protection) 、 检 测 (Detection) 、 响 应 
(Response) 构成 。 其 中 ， 安 全 策略 描述 系统 的 安全 需求 ， 以 及 如 何 组 织 各 种 安全 机 制 实 
现 系统 的 安全 需求 。 


3. WPDRRC 模型 


WPDRRC 的 要 素 由 预警 、 保 护 、 检 测 、 响 应 、 恢 复 和 反击 构成 。 模 型 蕴涵 的 网 络 安全 能 
力主 要 是 预警 能 力 、 保 护 能 力 、 检 测 能 力 、 响 应 能 力 、 恢 复 能 力 和 反击 能 力 。 


4.2.5 “能力 成 熟 度 模型 


能 力 成 熟 度 模型 〈 简 称 CMM) 是 对 一 个 组 织 机 构 的 能 力 进行 成 熟 度 评估 的 模型 。 成 熟 度 
级 别 一 般 分 成 五 级 : 1 级 - 非 正式 执行 、2 级 -计划 跟踪 、3 级 -充分 定义 、4 级 -量化 控制 、5 级 - 
持续 优化 。 其 中 ， 级 别 越 大 ， 表 示 能 力 成 熟 度 越 高 ， 各 级 别 定义 如 下 : 

。 ”1 级- 非 正式 执行 : 具备 随机 、 无 序 、 被 动 的 过 程 ; 

。 2 级 -计划 跟踪 : 具备 主动 、 非 体系 化 的 过 程 ; 

。 3 级 -充分 定义 :具备 正式 的 、 规 范 的 过 程 ; 
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。 4 级 -量化 控制 : 具备 可 量化 的 过 程 ; 

。 5 级 -持续 优化 : 具备 可 持续 优化 的 过 程 。 

目前 ， 网 络 安全 方面 的 成 熟 度 模型 主要 有 SSE-CMM、 数 据 安全 能 力 成 熟 度 模型 、 软 件 安 
全 能 力 成 熟 度 模型 等 。 


1. SSE-CMM 


SSE-CMM (Systems Security Engineering Capability Maturity Model) 是 系统 安全 工程 能 
力 成 熟 度 模型 。SSE-CMM 包括 工程 过 程 类 (Engineering) 、 组 织 过 程 类 (Organization) 、 项 
目 过 程 类 (Project) 。 各 过 程 类 包括 的 过 程 内 容 如 表 4-1 所 示 。 


表 4-1 SSE-CMM 系统 安全 工程 能 力 成 熟 度 模型 过 程 清单 


过 程 类 型 过 程 列表 
PA01- 管 理 安全 控制 工程 过 程 


PA02- 评 估 影 响 
PA03- 评 估 安 全 风险 
PA04- 评 估 威 胁 
i PA05- 评 估 脆 弱 性 
ee 人 RE 得 
PA07- 协 调 安全 
PA08- 监 控 安 全 态势 Ee 
PA09- 提 供 安 全 输入 TR 


风险 过 程 


PA10- 明 确 安全 需求 


保证 过 程 

PA12- 保 证 质量 

PA13- 管 理 配 置 
项 目 过 程 类 (Project) PA14- 管 理 项 目 风 险 
PA15- 监 视 和 控制 技术 活动 
PA16- 计 划 技 术 活 动 
PA17- 定 义 组 织 的 系统 工程 过 程 
PA18- 改 进 组 织 的 系统 工程 过 程 
PA19- 管 理 产 品系 列 进化 
PA20- 管 理 系 统 工程 支持 环境 
PA21- 提 供 持续 发 展 的 技能 和 知识 
PA22- 与 供应 商 协 调 


SSE-CMM 的 工程 过 程 、 风 险 过 程 、 保 证 过 程 的 相互 关系 如 图 4-5 所 示 。 


组 织 过 程 类 (Organization) 
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| 
工程 过 程 
他 Engineering > 


上 | 三 | 
Assurance Risk 


保证 论据 [| 风险 信息 


图 4-5 SSE-CMM 的 工程 过 程 、 风 险 过 程 、 保 证 过 程 关联 图 


SSE-CMM 的 工程 过 程 关 系 如 图 4-6 所 示 。 
风险 信息 


PA10 PA08 
确定 安全 需求 监控 安全 态势 
需求 、 策 略 等 国 有 用 国 配置 信息 


| 
I 
PAO9 PA01 

as 一 国 - 


解决 方案 、 指 导 等 
4-6 ”SSE-CMM 的 工程 过 程 关联 图 


I 


SSE-CMM 的 工程 质量 来 自 保证 过 程 ， 如 图 4-7 所 示 。 


PA06 
建立 保证 论据 


保证 论据 


| 其 他 多 个 PA 


证 据 
图 4-7 SSE-CMM 的 保证 过 程 图 
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2. 数据 安全 能 力 成 熟 度 模型 


根据 《信息 安全 技术 ”数据 安全 能 力 成 熟 度 模型 》, 数据 安全 能 力 成 熟 度 模型 架构 如 图 4-8 
所 示 。 
安全 能 力 维度 


能 力 成 熟 度 等 级 
4-8 ”数据 安全 能 力 成 熟 度 模型 架构 


数据 安全 能 力 从 组 织 建设 、 制 度 流程 、 技 术 工 具 及 人 员 能 力 四 个 维度 评估 : 

。 ”组 织 建设 一 一 数据 安全 组 织 机 构 的 架构 建立 、 职 责 分 配 和 沟通 协作 ; 

。 ”制度 流程 一 -组织 机 构 关键 数据 安全 领域 的 制度 规范 和 流程 落地 建设 

。 ”技术 工具 一 一 通过 技术 手段 和 产品 工具 固化 安全 要 求 或 自动 化 实现 安全 工作 ; 
。 ”人 员 能 力 一 一 执行 数据 安全 工作 的 人 员 的 意识 及 专业 能 力 。 

详细 情况 参考 标准 。 


3. 软件 安全 能 力 成 熟 度 模型 


软件 安全 能 力 成 熟 度 模型 分 成 五 级 ， 各 级 别 的 主要 过 程 如 下 : 

。 CMMI 级 一 一 补丁 修补 ; 

。 ”CMM3 级 一 一 漏洞 评估 、 代 码 分 析 、 安 全 编码 标准 ; 

。 CMM4 级 一 一 软件 安全 风险 识别 、SDLC 实施 不 同安 全 检查 点 ; 
。 CMM5 级 一 一 改进 软件 安全 风险 覆盖 率 、 评 估 安 全 差距 。 


4.2.6 ”纵深 防御 模型 


纵深 防御 模型 的 基本 思路 就 是 将 信息 网 络 安全 防护 措施 有 机 组 合 起 来 ， 针 对 保护 对 象 ， 部 
署 合 适 的 安全 措施 ， 形 成 多 道 保护 线 ， 各 安全 防护 措施 能 够 互相 支持 和 补救 ， 尽 可 能 地 阻 断 攻 
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击 者 的 威胁 。 目 前 ， 安 全 业界 认为 网 络 需 要 建立 四 道 防线 : 安全 保护 是 网 络 的 第 一 道 防线 ， 能 
够 阻止 对 网 络 的 入 侵 和 危害 ; 安全 监测 是 网 络 的 第 二 道 防线 ,可 以 及 时 发 现 入 侵 和 破坏 ; 实时 
响应 是 网 络 的 第 三 道 防 线 ， 当 攻击 发 生 时 维持 网 络 “ 打 不 垮 ”; 恢复 是 网 络 的 第 四 道 防线 ， 
使 网 络 在 遭受 攻击 后 能 以 最 快 的 速度 “起 死 回 生 ”， 最 大 限度 地 降低 安全 事件 带 来 的 损失 ， 
如 图 4-9 所 示 。 


保护 一 一 二 一 一 监测 
一 响应 


克 _ 恢复 
@I 1 / / / 加 
\ 人 \ | L 和 


图 4-9 纵深 防御 模型 示意 图 


4.2.7 “分 层 防护 模型 
分 层 防护 模型 针对 单独 保护 节点 ， 以 OSI7 层 模型 为 参考 ， 对 保护 对 象 进行 层次 化 保护 ， 


人 参 邱 ， 


典型 保护 层次 分 为 物理 层 、 网 络 层 、 系 统 层 、 应 用 层 、 用 户 层 、 管 理 层 ， 然 后 针对 每 层 的 安全 
威胁 ， 部 署 合 适 的 安全 措施 ， 进 行 分 层 防护 ， 如 图 4-10 所 示 。 


用 户 层 
@ 本 应 用 层 
人 人 
系统 层 
a 攻击 | 层 一 一 一 一 
网 络 层 
物理 层 


图 4-10 分 层 防护 模型 示意 图 
4.2.8 ”等 级 保护 模型 


等 级 保护 模型 是 根据 网 络 信息 系统 在 国家 安全 、 经 济 安全 、 社 会 稳定 和 保护 公共 利益 等 
方面 的 重要 程度 ， 结 合 系统 面临 的 风险 、 系 统 特定 的 安全 保护 要 求 和 成 本 开销 等 因素 ， 将 其 划 
分 成 不 同 的 安全 保护 等 级 ， 采 取 相 应 的 安全 保护 措施 ， 以 保障 信息 和 信息 系统 的 安全 。 以 电子 
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政务 等 级 保护 为 实例 ， 具 体 过 程 为 : 首先 ， 依 据 电 子 政务 安全 等 级 的 定 级 规则 ， 确 定 电子 政务 
系统 的 安全 等 级 。 其 次 ， 按 照 电 子 政务 等 级 保护 要 求 ， 确 定 与 系统 安全 等 级 相对 应 的 基本 安全 
要 求 。 最 后 ， 依 据 系统 基本 安全 要 求 ， 并 综合 平衡 系统 的 安全 保护 要 求 、 系 统 所 面临 的 风险 和 
实施 安全 保护 措施 的 成 本 ， 进 行 安全 保护 措施 的 定制 ， 确 定 适 用 于 特定 电子 政务 系统 的 安全 保 
护 措 施 ， 并 依照 本 指南 相关 要 求 完成 规划 、 设 计 、 实 施 和 验收 。 对 电子 政务 系统 实施 等 级 保护 
的 过 程 如 图 4-11 所 示 。 


3 a) 攻 国 
pA 定 级 八 | 统 | | 对 应 本 所 CE] 
规 安 又 ] > 全 改 到 ] 
则 全 到] 革 要 务 .级 ] 
入 [四 级 求 “[ 四 
个 系统 基本 
安全 要 求 


实施 
系统 保护 措施 


4-11 ”电子 政务 等 级 保护 示意 图 


4.2.9 网 络 生存 模型 


网 络 生存 性 是 指 在 网 络 信息 系统 遭受 入 侵 的 情形 下 ,网 络 信息 系统 仍然 能 够 持续 提供 必要 
服务 的 能 力 。 目 前 ， 国 际 上 的 网 络 信息 生存 模型 遵循 “3R” 的 建立 方法 。 首 先 将 系统 划分 成 不 
可 攻破 的 安全 核 和 可 恢复 部 分 。 然 后 对 一 定 的 攻击 模式 ， 给 出 相应 的 3R 策略 ， 即 抵抗 
(Resistance) 、 识 别 〈Recognition) 和 恢复 (Recovery) 。 最 后 ， 定 义 网 络 信息 系统 应 具备 的 
正常 服务 模式 和 可 能 被 黑客 利用 的 入 侵 模式 ， 给 出 系统 需要 重点 保护 的 基本 功能 服务 和 关键 信 
息 等 。 在 对 网 络 生 存 模型 支撑 技术 的 研究 方面 , 马里 兰 大 学 结合 入 侵 检测 提出 了 生存 性 的 屏蔽 、 
隔离 和 重 放 等 方法 ， 对 防止 攻击 危害 的 传播 和 干净 的 数据 备份 等 方面 进行 了 有 益 的 探讨 。 美 国 
CERT、DoD 等 组 织 都 开展 了 有 关 研 究 项 目 ， 如 DARPA 已 启动 容错 网 络 (Fault Tolerant 
Network) 研究 计划 。 


4.3 网 络 安全 体系 建设 原则 与 安全 策略 


本 节 给 出 网 络 安全 体系 建设 过 程 一 般 要 遵循 的 安全 原则 以 及 所 采用 的 网 络 安全 策略 。 
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4.3.1 网 络 安全 原则 
网 络 安全 体系 在 建立 过 程 中 主要 应 遵循 以 下 原则 。 
1. 系统 性 和 动态 性 原则 


网 络 系统 是 一 个 复杂 的 计算 机 系统 ， 攻 击 者 往往 从 系统 最 薄弱 点 切入 ， 正 如 著名 的 密码 学 专家 
Bruce Schneier 说 : “Security is achain，and a single weak link can break the entire system. 安全 如 同一 
根 链 条 ， 任 何 有 漏洞 的 连接 都 会 破坏 整个 系统 。) ”因此 ， 在 建立 网 络 安全 防范 体系 时 ， 应 当 特 别 强 
调 系统 的 整体 安全 性 ， 也 就 是 人 们 和 常 说 的 “ 木 桶 原则 ”， 即 木 桶 的 最 大 容积 取决 于 最 短 的 一 块 木板 。 

网 络 安全 策略 根据 网 络 系统 的 安全 环境 和 攻击 适时 而 变 。 研 究 表明 ， 操 作 系统 几乎 都 存在 
弱点 ， 而 且 每 个 月 均 有 新 的 弱点 发 现 。 网 络 攻击 的 方法 并 不 是 一 成 不 变 的， 攻击 者 会 根据 搜集 
到 的 目标 信息 ， 不 断 地 探索 新 的 攻击 入 口 点 。 因 此 ， 网 络 系统 的 安全 防范 应 当 是 动态 的 ， 要 根 
据 网 络 安全 的 变化 不 断 调整 安全 措施 ， 适 应 新 的 网 络 环境 ， 满 足 新 的 网 络 安全 需求 。 


2. 纵深 防护 与 协作 性 原则 


俗话 说 ， 尺 有 所 短 ， 寸 有 所 长 。 网 络 安全 防范 技术 都 有 各 自 的 优点 和 局 限 性 ， 各 种 网 络 安 
全 技术 之 间 应 当 互相 补充 ， 互 相配 合 ， 在 统一 的 安全 策略 与 配置 下 ， 发 挥 各 自 的 优点 。 因 此 ， 
网 络 安全 体系 应 该 包括 安全 评估 机 制 、 安 全 防护 机 制 、 安 全 监测 机 制 、 安 全 应 急 响 应 机 制 。 安 
全 评估 机 制 包括 识别 网 络 系统 风险 ， 分 析 网 络 风险 ， 制 定 风险 控制 措施 。 安 全 防护 机 制 是 根据 
具体 系统 存在 的 各 种 安全 威胁 采取 相应 的 防护 措施 ， 避 免 非法 攻击 的 进行 。 安 全 监测 机 制 是 获 
取 系统 的 运行 情况 ， 及 时 发 现 和 制止 对 系统 进行 的 各 种 攻击 。 安 全 应 急 响 应 机 制 是 在 安全 防护 
机 制 失效 的 情况 下 ， 进 行 应 急 处 理 和 及 时 地 恢复 信息 ， 降 低 攻击 的 破坏 程度 。 


3. 网 络 安全 风险 和 分 级 保护 原则 


网 络 安全 不 是 绝对 的 ， 网 络 安全 体系 要 正确 处 理 需 求 、 风 险 与 代价 的 关系 ， 做 到 安全 性 与 
可 用 性 相 容 ， 做 到 组 织 上 可 执行 。 

分 级 保护 原则 是 指 根据 网 络 资产 的 安全 级 别 ， 采 用 合适 的 网 络 防范 措施 来 保护 网 络 资产 ， 
做 到 适度 防护 。 


4. 标准 化 与 一 致 性 原则 


网 络 系统 是 一 个 庞大 的 系统 工程 ， 其 安全 体系 的 设计 必须 遵循 一 系列 的 标准 ， 这 样 才能 确 
保 各 个 分 系统 的 一 致 性 ， 使 整个 系统 安全 地 互联 、 互 通 、 互 操作 。 


S. 技术 与 管理 相 结合 原则 


网 络 安全 体系 是 一 个 复杂 的 系统 工程 ， 涉 及 人 、 技 术 、 操 作 等 要 素 ， 单 靠 技术 或 单 靠 管理 
都 不 可 能 实现 。 因 此 ， 必 须 将 各 种 安全 技术 与 运行 管理 机 制 、 人 员 思 想 教育 和 技术 培训 、 安 全 
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规章 制度 的 建设 相 结 合 。 
6. 安全 第 一 ， 预 防 为 主 原则 


网 络 安全 应 以 预防 为 主 ， 否 则 亡羊补牢 ， 为 之 晚 侨 。 特 别 是 大 型 的 网 络 ， 一 旦 攻击 者 进入 
系统 后 ， 就 难以 控制 网 络 安全 局 面 。 因 此 ， 我 们 应 当 遵循 “安全 第 一 ， 预 防 为 主 ” 的 原则 。 


7. 安全 与 发 展 同步 ， 业 务 与 安全 等 同 


网 络 安全 的 建设 要 实现 和 信息 化 统一 谋划 、 统 一 部 署 、 统 一 推进 、 统 一 实施 ， 确 保 三 
同步 一 一 同步 规划 、 同 步 建设 、 同 步 运行 ， 做 到 安全 与 发 展 协调 一 致 、 齐 头 并 进 ， 以 安全 保 发 
展 、 以 发 展 促 安 全 ， 安 全 与 发 展 同步 ， 业 务 与 安全 等 同 。 


8. 人 机 $ 物 融合 和 产业 发 展 原则 


人 是 网 络 信息 系统 最 为 活跃 的 要 素 , 网 络 安全 体系 的 建设 要 分 析 人 在 网 络 信息 系统 中 的 安 
全 保障 需求 ， 避 免 单纯 的 网 络 安全 产品 导向 ， 要 构建 “网 络 安全 人 力 防火 墙 ”， 发 挥 人 的 主动 
性 ， 实 现 “ 网 络 安全 为 人 民 ， 网 络 安全 靠 人 民 ”。 

网 络 安全 体系 建设 要 依托 网 络 信息 产业 的 发 展 ， 做 到 自主 可 控 ， 安 全 可 信 ， 建 立 持 续 稳 定 
发 展 的 网 络 安全 生态 ， 支 撑 网 络 安全 体系 的 关键 要 素 可 控 。 


4.3.2 网络 安 全 策略 


网 络 安全 策略 是 有 关 保 护 对 象 的 网 络 安全 规则 及 要 求 ， 其 主要 依据 网 络 安全 法 律 法 规 和 网 
络 安全 风险 。 制 定 网 络 安全 策略 是 一 件 细致 而 又 复杂 的 工作 ， 针 对 具体 保护 对 象 的 网 络 安全 需 
求 ， 网 络 安全 策略 包含 不 同 的 内 容 ， 但 通常 情况 下 ， 一 个 网 络 安全 策略 文件 应 具备 以 下 内 容 

。 ”涉及 范围 :该 文件 内 容 涉及 的 主题 、 组 织 区 域 、 技 术 系 统 ; 

。 ”有 效 期 : 策略 文件 适用 期 限 ; 

。 ”所 有 者 : 规定 本 策略 文件 的 所 有 者 ， 由 其 负责 维护 策略 文件 ， 以 及 保证 文件 的 完整 性 ， 

策略 文件 由 所 有 者 签署 而 正式 生效 ; 

。 ”责任 : 在 本 策略 文件 覆盖 的 范围 内 ， 确 定 每 个 安全 单元 的 责任 人 ; 

。 ”参考 文件 ， 引 用 的 参考 文件 ， 比 如 安全 计划 ; 

。 ”策略 主体 内 容 ， 这 是 策略 文件 中 最 重要 的 部 分 ， 规 定 具 体 的 策略 内 容 

。 ”复查 : 规定 对 本 策略 文件 的 复查 事宜 ， 包 括 是 否 进行 复查 、 具 体 复查 时 间 、 复 查 方式 等 ; 

。 ”违规 处 理 : 对 于 不 遵守 本 策略 文件 条 款 内 容 的 处 理 办 法 。 


4.4 网 络 安全 体系 框架 主要 组 成 和 建设 内 容 


本 节 主 要 讲述 网 络 安全 体系 框架 的 组 成 部 件 以 及 建设 内 容 。 
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4.4.1 网 络 安全 体系 组 成 框架 


一 般 来 说 ， 网 络 安全 体系 框架 包括 网 络 安全 法 律 法 规 、 网 络 安全 策略 、 网 络 安全 组 织 、 网 
络 安全 管理 、 网 络 安全 基础 设施 及 网 络 安全 服务 、 网 络 安全 技术 、 网 络 信息 科技 与 产业 生态 、 
网 络 安全 教育 与 培训 、 网 络 安全 标准 与 规范 、 网 络 安全 运营 与 应 急 响 应 、 网 络 安全 投入 与 建设 
等 多 种 要 素 ， 如 图 4-12 所 示 。 


[ 网 络 安全 法 律 法 规 
工 工 IE 
本 网 络 安全 策略 | 
络 网 
加 网 络 安全 组 织 | 局 
多 网 络 安全 管理 实 
网 络 安全 基础 设施 及 网 络 安全 服务 可 
应 网 络 安全 技术 ] | 包 
曙 网 络 信息 科技 与 产业 生态 范 
网 络 安全 教育 与 培训 | 
I I I 
网 络 安全 投入 与 建设 


图 4-12 网 络 安全 体系 框架 示意 图 
网 络 安全 体系 的 各 要 素 分 析 阔 述 如 下 。 
1. 网 络 安全 法 律 法 规 


网 络 安全 法 律 法 规 用 于 指导 网 络 安全 体系 的 建设 , 使 相关 机 构 的 网 络 安全 行为 符合 当地 的 
法 律 规 定 要 求 。 


2. 网 络 安全 策略 


网 络 安全 策略 是 指 为 了 更 好 地 保护 网 络 信息 系统 ， 而 给 出 保护 对 象 所 采用 的 网 络 安全 原 
则 、 网 络 安全 方法 、 网 络 安全 过 程 、 网 络 安全 措施 。 


3. 网 络 安全 组 织 


网 络 安全 组 织 是 为 实现 网 络 安全 目标 而 组 建 的 单位 机 构 、 岗 位 人 员 编 制 以 及 所 规定 的 网 络 
安全 工作 职能 及 工作 办 法 。 国 家 级 网 络 安全 组 织 通常 涉及 多 个 网 络 安全 职能 部 门 ， 这 些 部 门 负 
责 网 络 安全 技术 和 管理 资源 的 整合 和 使 用 ， 按 照 规定 要 求 完成 网 络 安全 职能 。 在 大 型 的 网 络 信 
息 系统 中 ， 网 络 安全 组 织 体系 由 各 种 不 同 的 职能 部 门 组 成 ， 而 在 小 型 的 网 络 信息 系统 中 ， 则 由 
若干 个 人 或 工作 组 构成 。 
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4. 网 络 安全 管理 


网 络 安全 管理 是 指 为 满足 网 络 信息 系统 的 网 络 安全 要 求 ， 而 采取 的 管理 方法 、 管 理 制度 、 
管理 流程 、 管 理 措施 以 及 所 开展 的 管理 活动 。 


S. 网 络 安全 基础 设施 及 网 络 安全 服务 


网 络 安全 基础 设施 是 指 提供 基础 性 的 网 络 安全 服务 设施 ， 支 撑 网 络 信息 系统 的 安全 建设 。 
网 络 安全 服务 是 指 为 网 络 信息 系统 的 安全 保障 所 提供 的 服务 ， 如 网 络 用 户 实名 认证 服务 、 安 全 
域名 解析 服务 、 网 络 安全 通信 加 密 服务 、 网 络 攻击 溯源 服务 等 。 


6. 网 络 安全 技术 


网 络 安全 技术 是 为 实现 网 络 安全 策略 ， 构 建 网 络 安全 机 制 ， 满 足 网 络 安全 要 求 而 采取 的 非 
人 工 的 网 络 安全 措施 。 


7. 网 络 信息 科技 与 产业 生态 


网 络 信息 科技 与 产业 生态 是 为 支撑 网 络 安全 体系 的 建设 而 采取 的 相关 措施 ， 主 要 包括 网 络 安 
全 基础 研究 、 网 络 安全 核心 技术 创新 研究 、 网 络 安全 核心 产品 研发 、 网 络 信息 产品 生态 圈 建 设 等 。 


8. 网 络 安全 教育 与 培训 


网 络 安 全 教育 与 培训 是 指 为 提升 网 络 安全 相关 责任 主体 的 网 络 安全 意识 及 能 力 , 而 开展 的 
网 络 安全 相关 教学 活动 。 

9. 网 络 安全 标准 与 规范 

网 络 安 全 标准 与 规范 是 指 为 实现 网 络 安全 项 目 建设 、 网 络 安全 系统 运营 、 网 络 安 全 服务 、 
网 络 安全 应 急 响应 、 网 络 安全 产品 研发 、 系 统 安全 互联 等 工作 ， 而 提出 的 相关 具体 要 求 ， 如 网 
络 安全 功能 指标 要 求 、 网 络 安全 技术 指标 要 求 、 网 络 安全 性 能 要 求 、 安 全 开发 过 程 要 求 、 网 络 
安全 系统 接口 要 求 、 网 络 安 全 协议 格式 要 求 、 软 件 代 码 编写 要 求 、 网 络 安全 测试 保障 要 求 、 密 
码 算法 要 求 、 网 络 安全 产品 认证 要 求 等 。 


10. 网 络 安全 运营 与 应 急 响应 


网 络 安全 运营 与 应 急 响应 是 指 为 维护 和 实施 网 络 信息 系统 的 各 种 安全 措施 ， 而 采取 相关 的 
网 络 安全 工作 机 制 。 


11. 网 络 安全 投入 与 建设 


网 络 安全 投入 与 建设 是 指 为 落地 实现 网 络 信息 系统 的 各 种 网 络 安全 措施 ， 而 进行 的 相关 投 
入 及 开展 的 建设 活动 。 
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4.4.2 网络 安 全 策略 建设 内 容 


一 般 来 说 ， 网 络 安全 策略 的 相关 工作 主要 如 下 : 

。 ”调查 网 络 安全 策略 需求 ， 明 确 其 作用 范围 ; 

。 ”网 络 安全 策略 实施 影响 分 析 ; 

。 ”获准 上 级 领导 支持 网 络 安全 策略 工作 ; 

。 ”制订 网 络 安全 策略 草案 ; 

。 ”征求 网 络 安全 策略 有 关 意 见 ; 

。 ”网 络 安全 策略 风险 承担 者 评估 ; 

。 ”上 级 领导 审批 网 络 安全 策略 ; 

。 ”网 络 安全 策略 发 布 ; 

。 ”网 络 安全 策略 效果 评估 和 修订 。 

一 般 企 事 业 单 位 的 网 络 信息 系统 中 , 网 络 安全 策略 主要 有 网 络 资产 分 级 策略 、 密 码 管理 策略 、 
互联 网 使 用 安全 策略 、 网 络 通信 安全 策略 、 远 程 访问 策略 、 桌 面 安 全 策略 、 服 务 器 安全 策略 、 应 
用 程序 安全 策略 等 八 类 。 网 络 安全 策略 表现 形式 通常 通过 规章 制度 、 操 作 流程 及 技术 规范 体现 。 


4.4.3 ”网 络 安全 组 织 体系 构建 内 容 


网 络 安 全 组 织 建设 内 容 主要 包括 网 络 安全 机 构 设 置 、 网 络 安全 岗位 编制 、 网 络 安全 人 才 队 
伍 建设 、 网 络 安全 岗位 培训 、 网 络 安全 资源 协同 。 网 络 安全 组 织 的 建立 是 网 络 安 全 管理 工作 开 
展 的 前 提 条 件 ， 通 过 建立 合适 的 安全 组 织 机 构 和 组 织 形式 ， 明 确 各 组 织 单元 在 安全 方面 的 工作 
职责 以 及 组 织 之 间 的 工作 流程 ， 才 能 确保 网 络 系统 安全 保障 工作 健康 有 序 地 进行 。 网 络 安全 组 
织 结构 主要 包括 领导 层 、 管 理 层 、 执 行 层 以 及 外 部 协作 层 等 。 网 络 安全 组 织 各 组 成 单元 的 工作 
分 别 说 明 如 下 。 


1. 网 络 安全 组 织 的 领导 层 


网 络 安全 组 织 的 领导 层 由 各 部 门 的 领导 组 成 ， 其 职责 主要 有 
。 ”协调 各 部 门 的 工作 ; 

。 ”审查 与 批准 网 络 系统 安全 策略 ; 

。 ”审查 与 批准 网 络 安全 项 目 实施 计划 与 预算 ; 

。 ”网 络 安全 工作 人 员 考 察 和 录用 。 


2. 网 络 安全 组 织 的 管理 层 


网 络 安全 组 织 的 管理 层 由 组 织 中 的 安全 负责 人 和 中 层 管理 人 员 组 成 ， 其 职责 主要 有 : 
。 ”制订 网 络 系统 安全 策略 ; 
。 ”制订 安全 项 目 实施 计划 与 预算 ; 
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。 制订 安全 工作 的 工作 流程 
。 监督 安全 项 目的 实施 ; 

。 监督 日 常 维护 中 的 安全 ; 
。 ”监督 安全 事件 的 应 急 处 理 。 


3. 网 络 安全 组 织 的 执行 层 


网 络 安全 组 织 的 执行 层 由 业务 人 员 、 技 术 人 员 、 系 统管 理 员 、 项 目 工程 人 员 等 组 成 ， 其 职 
责 主 要 有 : 

。 ”实现 网 络 系统 安全 策略 ; 

。 ”执行 网 络 系统 安全 规章 制度 ; 

。 ”遵循 安全 工作 的 工作 流程 ; 

。 ”负责 各 个 系统 或 网 络 设备 的 安全 运行 ; 

。 负责 系统 的 日 常安 全 维护 。 


4. 网 络 安全 组 织 的 外 部 协作 层 


网 络 安 全 组 织 的 外 部 协作 层 由 组 织 外 的 安全 专家 或 合作 伙伴 组 成 ， 其 职责 主要 有 : 
。 定期 介绍 计算 机 系统 和 信息 安全 的 最 新 发 展 趋势 ; 

。 ”计算 机 系统 和 信息 安全 的 管理 培训 ; 

。 ”新 的 信息 技术 安全 风险 分 析 ; 

。 ”网 络 系统 建设 和 改造 安全 建议 

。 ”网 络 安全 事件 协调 。 


4.4.4 网 络 安全 管理 体系 构建 内 容 


网 络 安全 管理 体系 涉及 五 个 方面 的 内 容 : 管理 目标 、 管 理 手段 、 管 理 主体 、 管 理 依据 、 管 
理 资源 。 管 理 目标 大 的 方面 包括 政治 安全 、 经 济 安全 、 文 化 安全 、 国 防 安全 等 ， 小 的 方面 则 是 
网 络 系统 的 保密 、 可 用 、 可 控 等 ， 管 理 手段 包括 安全 评估 、 安 全 监管 、 应 急 响 应 、 安 全 协调 、 
安全 标准 和 规范 、 保 密 检查 、 认 证 和 访问 控制 等 ;管理 主体 大 的 方面 包括 国家 网 络 安全 职能 部 
门 ， 小 的 方面 主要 是 网 络 管理 员 、 单 位 负责 人 等 ; 管理 依据 有 行政 法 规 、 法 律 、 部 门 规章 制度 、 
技术 规范 等 ;管理 资源 包括 安全 设备 、 管 理 人 员 、 安 全 经 费 、 时 间 等 。 

网 络 安全 管理 体系 的 构建 涉及 多 个 方面 ， 具 体 来 说 包括 网 络 安全 管理 策略 、 第 三 方 安全 管 
理 、 网 络 系统 资产 分 类 与 控制 、 人 员 安全 、 网 络 物理 与 环境 安全 、 网 络 通信 与 运行 、 网 络 访问 
控制 、 网 络 应 用 系统 开发 与 维护 、 网 络 系统 可 持续 性 运营 、 网 络 安全 合 规 性 管理 十 个 方面 。 下 
面 分 别 给 出 这 些 方面 的 具体 内 容 。 
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1. 网 络 安全 管理 策略 


网 络 安全 管理 策略 通常 由 管理 者 根据 业务 要 求 和 相关 法 律 法 规制 定 、 评 审 、 批 准 、 发 布 、 
修订 ， 并 将 其 传达 给 所 有 员工 和 外 部 相关 方 ， 同 时 根据 网 络 安全 情况 ， 定 期 或 不 定期 评审 网 络 
安全 策略 ， 以 确保 其 持续 的 适宜 性 、 充 分 性 和 有 效 性 。 网 络 安全 管理 策略 给 网 络 信息 系统 的 保 
护 目标 提供 了 具体 安全 措施 要 求 和 保护 方法 。 常 见 的 网 络 安 全 管理 策略 有 服务 器 安全 策略 、 终 
端 安全 策略 、 网 络 通信 安全 策略 、 远 程 访问 安全 策略 、 电 子 邮件 安全 策略 、 互 联网 络 使 用 策 
略 、 恶 意 代码 防护 策略 等 。 


2. 第 三 方 安全 管理 


第 三 方 安全 管理 的 目标 是 维护 第 三 方 访问 的 组 织 的 信息 处 理 设施 和 网 络 资产 的 安全 性 ， 要 
严格 控制 第 三 方 对 组 织 的 信息 及 网 络 处 理 设备 的 使 用 ， 同 时 又 能 支持 组 织 开展 网 络 业 务 需要 。 
第 三 方 安全 管理 的 主要 工作 有 : 

。 ”根据 第 三 方 访问 的 业务 需求 ， 必 须 进 行 风险 评估 ， 明 确 所 涉及 的 安全 问题 和 安全 控制 

措施 ; 

。 与 第 三 方 签 定安 全 协议 或 合同 ， 明 确 安全 控制 措施 ， 规 定 双方 的 安全 责任 ; 

。 ”对 第 三 方 访问 人 员 的 身份 进行 识别 和 授权 。 


3. 网 络 系 统 资产 分 类 与 控制 


网 络 系统 资产 的 清单 列表 和 分 类 是 管理 的 最 基本 工作 ， 它 有 助 于 明确 安全 管理 对 象 ， 组 织 
可 以 根据 资产 的 重要 性 和 价值 提供 相应 级 别 的 保护 。 与 网 络 系 统 相 关联 的 资产 示例 有 
。 “硬件 资产 包括 计算 机 、 网 络 设备 、 传 输 介质 及 转换 器 、 输 入 输出 设备 、 监 控 设备 和 
安全 辅助 设备 ; 
。 ”软件 资产 : 包括 操作 系统 、 网 络 通信 软件 、 数 据 库 软件 、 通 用 应 用 软件 、 委 托 开 发 和 
自主 开发 的 应 用 系统 及 网 络 管理 软件 ; 
。 ”存储 介质 : 包括 光盘 、 人 硬盘 、 软 盘 、 磁 带 、 移 动 存储 器 ; 
。 ”信息 资产 : 包括 文字 信息 、 数 字 信息 、 声 音信 息 、 图 像 信 息 、 系 统 文档 、 用 户 手册 、 
培训 材料 、 操 作 或 支持 步骤 、 连 续 性 计划 、 退 守 计划 、 归 档 信息 
。 ”网 络 服务 及 业务 系统 :包括 电子 邮件 、Web 服务 、 文 件 服务 等 ; 
。 ”支持 保障 系统 :包括 消防 、 保 安 系 统 、 动 力 、 空 调 、 后 勤 支持 系统 、 电 话 通 信 系统 、 
厂商 服务 系统 等 。 
网 络 系统 的 安全 管理 部 门 给 出 资产 清单 列表 后 ， 另 外 一 项 工作 就 是 划分 资产 的 安全 级 别 。 
安全 管理 部 门 根据 组 织 的 安全 策略 和 资产 的 重要 程度 , 给 定 资产 的 级 别 。 例如, 在 企业 网 络 中 
一 般 可 以 把 资产 分 成 四 个 级 别 : 公开、 内 部 、 机 密 、 限 制 ， 各 级 别 的 划分 依据 如 表 4-2 所 示 。 
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表 4-2 企业 网 络 中 的 资产 分 级 定义 


资产 级 别 级 别 描述 

公开 允许 企业 外 界 人 员 访 问 

内 部 局 限于 企业 内 部 人 员 访 问 

机 密 资产 的 受 损 会 给 企业 带 来 不 利 影响 

限制 资产 的 受 损 会 给 企业 带 来 严重 影响 
4. 人 员 安 全 


人 是 网 络 系统 中 最 注 弱 的 环节 ， 人 员 安 全 的 管理 目标 是 降低 误 操作 、 偷 窃 、 诈 骗 或 滥用 等 
人 为 造成 的 网 络 安全 风险 。 人 员 安 全 通过 采取 合适 的 人 事 管理 制度 、 保 密 协议 、 教 育 培 训 、 业 
务 考 核 、 人 员 审查 、 奖 惩 等 多 种 防范 措施 ， 来 消除 人 员 方 面 的 安全 隐患 。 下 面 举例 说 明 人 员 安 
全 措施 ， 如 在 人 员 录 用 方面 应 该 做 到 : 

。 ”是 否 有 令 人 满意 的 个 人 介绍 信 ， 由 某 个 组 织 或 个 人 出 具 

。 ”对 申请 人 简历 的 完整 性 和 准确 性 进行 检查 

。 ”对 申请 人 声明 的 学 术 和 专业 资格 进行 证 实 

。 ”进行 独立 的 身份 检查 护照 或 类 似 文件 )。 

在 人 员 安 全 的 工作 安排 方面 ， 应 遵守 以 下 三 个 原则 。 

1) 多 人 负责 原则 

每 一 项 与 安全 有 关 的 活动 ， 都 必须 有 两 人 或 多 人 在 场 。 要求 相 关 人 员 忠 诚 可 靠 ,能 胜任 此 
项 工作 ， 并 签署 工作 情况 记录 以 证 明 安全 工作 已 得 到 保障 。 一 般 以 下 各 项 安全 工作 应 由 多 人 负 
责 处 理 : 

。 ”访问 控制 使 用 证 件 的 发 放 与 回收 ; 

。 ”信息 处 理 系统 使 用 的 媒介 发 放 与 回收 

。 ”处 理 保密 信息 ; 

。 “硬件 和 软件 的 维护 ; 

。 ”系统 软件 的 设计 、 实 现 和 修改 ; 

。 ”重要 程序 和 数据 的 删除 和 销毁 等 。 

2) 任期 有 限 原 则 

一 般 来 讲 ， 任 何人 不 能 长 期 担任 与 安全 有 关 的 职务 ， 工 作 人 员 应 不 定期 地 循环 任职 ， 强 制 
实行 休假 制度 ， 并 规定 对 工作 人 员 进 行 轮流 培训 ， 以 使 任期 有 限 原则 切实 可 行 。 

3) 职责 分 离 原则 

工作 人 员 各 司 其 职 ， 不 要 打听 、 了 解 或 参与 职责 以 外 的 任何 与 安全 有 关 的 事情 ， 除 非 系统 
主管 领导 批准 。 出 于 对 安全 的 考虑 ， 下 面 各 项 工作 应 当 职责 分 开 

。 计算 机 操作 与 计算 机 编程 ; 

。 ”机 密 资料 的 接收 和 传送 ; 

。 ”安全 管理 和 系统 管理 ; 
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。 ”应 用 程序 和 系统 程序 的 编制 ; 
。 ”访问 证 件 的 管理 与 其 他 工作 ; 
。 ”计算 机 操作 与 信息 处 理 系统 使 用 媒介 的 保管 等 。 


5. 网 络 物理 与 环境 安全 


网 络 物理 与 环境 安全 的 管理 目标 是 防止 对 组 织 工作 场所 和 网 络 资产 的 非法 物理 临近 访问 、 
破坏 和 和 干扰。 例如 针对 网 络 机 房 ， 限 制 工 作 人 员 出 入 与 己 无 关 的 区 域 。 出 入 管理 可 采用 证 件 识 
别 或 安装 自动 识别 登记 系统 ， 对 人 员 的 出 入 进行 登记 管理 。 


6. 网 络 通信 与 运行 


网 络 通信 与 运行 的 管理 目标 是 保证 网 络 信息 处 理 设施 的 操作 安全 无 误 , 满足 组 织 业 务 开展 
的 安全 需求 。 


7. 网 络 访问 控制 


网 络 访问 控制 的 管理 目标 是 保护 网 络 化 服务 ， 应 该 控制 对 内 外 网 络 服务 的 访问 ， 确 保 访问 
网 络 和 网 络 服务 的 用 户 不 会 破坏 这 些 网 络 服务 的 安全 ， 要 求 做 到 : 

。 ”组 织 网 络 与 其 他 组 织 网 络 或 公用 网 之 间 正 确 连 接 ; 

。 ”用 户 和 设备 都 具有 适当 的 身份 验证 机 制 ; 

。 ”在 用 户 访问 信息 服务 时 进行 控制 。 

与 网 络 访问 控制 相关 的 工作 主要 有 : 网 络 服务 的 使 用 策略 、 网 络 路 径 控制 、 外 部 连接 的 用 
户 身份 验证 、 网 络 节点 验证 、 远 程 网 络 设备 诊断 端口 的 保护 、 网 络 子 网 划分 、 网 络 连 接 控制 、 
网 络 路 由 控制 、 网 络 服务 安全 、 网 络 恶意 代码 防范 。 


8. 网 络 应 用 系统 开发 与 维护 


网 络 应 用 系统 开发 与 维护 的 管理 目标 是 防止 应 用 系统 中 用 户 数据 的 丢失 、 修 改 或 滥用 。 网 
络 应 用 系统 设计 必须 包含 适当 的 安全 控制 措施 、 审 计 追 踪 或 活动 日 志 记录 。 与 网 络 应 用 系统 开 
发 与 维护 相关 的 工作 主要 有 

。 ”网 络 应 用 系统 风险 评估 ; 

。 网 络 应 用 输入 输出 数据 验证 ; 

。 ”网 络 应 用 内 部 处 理 授权 ; 

。 ”网 络 消息 验证 ; 

。 ”操作 系统 的 安全 增强 ; 

。 ”网 络 应 用 软件 包 变更 的 限制 ; 

。 ”隐蔽 通道 和 特洛伊 代码 的 分 析 ; 

。 ”外 包 的 软件 开发 安全 控制 |; 
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网 络 应 用 数据 加 密 ; 
网 络 应 用 系统 密 钥 管理 。 


9. 网 络 系统 可 持续 性 运营 


网 络 系统 可 持续 性 运营 的 管理 目标 是 防止 网 络 业务 活动 中 断 ， 保 证 重要 业务 流程 不 受 重大 


故障 和 灾难 的 影响 ， 要 求 达到 : 


实施 业务 连续 性 管理 程序 ， 预 防 和 恢复 控制 相 结 合 ， 要 将 由 于 自然 灾害 、 事 故 、 设 备 


故障 和 鞭 意 破坏 等 引起 的 灾难 和 安全 故障 造成 的 影响 降低 到 可 以 接受 的 水 平 ; 


分 析 灾 难 、 安 全 故障 和 服务 损失 的 后 果 ， 制 订 和 实施 应 急 计 划 ， 确 保 能 够 在 要 求 的 时 


间 内 恢复 业务 流程 ; 


采用 安全 控制 措施 ， 确 定 和 降低 风险 ， 限 制 破坏 性 事件 造成 的 后 果 ， 确 保重 要 操作 及 


时 恢复 。 


与 网 络 系统 可 持续 性 运营 相关 的 工作 主要 有 


网 络 运营 持续 性 管理 程序 和 网 络 运营 制度 ; 

网 络 运营 持续 性 和 影响 分 析 ; 

网 络 运营 持续 性 应 急 方 案 ; 

网 络 运 营 持 续 性 计划 的 检查 、 维 护 和 重新 分 析 ; 
网 络 运 营 状 态 监 测 。 


10. 网 络 安全 合 规 性 管理 
网 络 安 全 合 规 性 管理 的 目标 是 


网 络 系统 的 设计 、 操 作 、 使 用 和 管理 要 依据 成 文法 、 法 规 或 合同 安全 的 要 求 ; 
不 违反 刑法 、 民 法 、 成 文法 、 法 规 或 合约 义务 以 及 任何 安全 要 求 。 


与 网 络 安全 合 规 性 管理 相关 的 工作 主要 有 


4.4.5 


网 络 安全 基础 设施 主要 包括 网 络 安 全 数字 认证 服务 中 心 、 网 络 安全 运营 中 心 、 网 络 安全 测 


确定 适用 于 网 络 管理 的 法 律 ; 

网 络 管理 知识 产权 (IPR) 保护 ; 

组 织 记 录 的 安全 保障 ; 

网 络 系 统 中 个 人 信息 的 数据 安全 保护 ; 
防止 网 络 系统 的 滥用 ; 

评审 网 络 安全 策略 和 技术 符合 性 ; 

网 络 系统 审计 。 


网 络 安全 基础 设施 及 网 络 安全 服务 构建 内 容 


评 认证 中 心 。 
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网 络 安全 服务 的 目标 是 通过 网 络 安全 服务 以 保障 业务 运营 和 数据 安全 。 其 中 ， 网 络 安全 服 
务 输出 的 网 络 安全 保障 能 力主 要 有 : 预警、 评估、 防护、 监测、 应 急 、 恢 复 、 测 试 、 追 溯 等 。 
网 络 安全 服务 类 型 主要 包括 网 络 安全 监测 预警 、 网 络 安全 风险 评估 、 网 络 安全 数字 认证 、 网 络 
安全 保护 、 网 络 安全 检查 、 网 络 安全 审计 、 网 络 安全 应 急 响 应 、 网 络 安全 容 灾 备 份 、 网 络 安全 
测评 认证 、 网 络 安全 电子 取证 等 。 


4.4.6 ”网 络 安全 技术 体系 构建 内 容 


一 般 来 说 ， 网 络 安全 技术 的 目标 是 通过 多 种 网 络 安全 技术 的 使 用 ， 实 现 网 络 用 户 认 证 、 网 
络 访问 授权 、 网 络 安全 审计 、 网 络 安全 容 灾 恢 复 等 网 络 安全 机 制 ， 以 满足 网 络 信息 系统 的 业务 
安全 、 数 据 安全 的 保护 需求 。 对 于 一 个 国家 而 言 ， 网 络 安全 核心 技术 的 目标 则 是 要 做 到 自主 可 
控 、 安 全 可 信 ， 确 保 网 络 信息 科技 的 技术 安全 风险 可 控 ， 避 免 技术 安全 隐患 危及 国家 安全 。 网 
络 安全 技术 类 型 可 分 为 保护 类 技术 、 监 测 类 技术 、 恢 复 类 技术 、 响 应 类 技术 。 


4.4.7 网络 信息 科技 与 产业 生态 构建 内 容 


网 络 信息 科技 与 产业 生态 构建 的 主要 目标 是 确保 网 络 安全 体系 能 够 做 到 安全 自主 可 控 , 相 
关 的 技术 和 产品 安全 可 信 。 其 主要 内 容 包括 网 络 信息 科技 基础 性 研究 、IT 产品 研发 和 供应 链 安 
全 确保 、 网 络 信息 科技 产品 及 系统 安全 测评 、 有 关 网 络 信息 科技 的 法 律 法 规 政策 、 网 络 信息 科 
技 人 才 队 伍 建设 等 。 


4.4.8 网 络 安全 教育 与 培训 构建 内 容 


网 络 安全 教育 与 培训 是 构建 网 络 安全 体系 的 基础 性 工作 ， 是 网 络 安全 科技 创新 的 源泉 。 国 
际 上 网 络 信息 科技 发 达 的 国家 都 十 分 注重 网 络 安全 教育 和 培训 。 美 国 、 加 拿 大 等 国家 都 积极 推 
进 和 实施 “国家 网 络 安全 意识 月 ”(NCSAM) ， 以 提升 全 民 的 网 络 安全 意识 和 网 络 安全 资源 普 
惠 化 ， 并 开展 Stop.Think.Connect 网 络 安全 技能 提升 活动 。《 中 华人 民 共 和 国 网 络 安全 法 》 第 
三 十 四 条 规定 ， 关 键 信息 基础 设施 的 运营 者 有 义务 定期 对 从 业 人 员 进 行 网 络 安全 教育 、 技 术 培 
训 和 技能 考核 。 此 外 ， 第 二 十 条 要 求 ， 国 家 支持 企业 和 高 等 学 校 、 职 业 学 校 等 教育 培训 机 构 开 
展 网 络 安全 相关 教育 与 培训 ， 采 取 多 种 方式 培养 网 络 安全 人 才 ， 促 进 网 络 安全 人 才 交 流 。 第 十 
九条 要 求 ， 各 级 人 民政 府 及 其 有 关 部 门 应 当 组 织 开 展 经 常 性 的 网 络 安全 宣传 教育 ， 并 指导 、 督 
促 有 关 单 位 做 好 网 络 安全 宣传 教育 工作 。 

一 般 企 事业 单位 的 网 络 安全 教育 与 培训 的 工作 目标 是 宣教 本 机 构 的 网 络 安全 管理 规章 制 
度 ， 形 成 本 机 构 的 网 络 安全 文化 ， 提 升 本 机 构 工作 人 员 的 网 络 安全 意识 水 平 及 网 络 安全 技能 
满足 岗位 的 网 络 安 全 能 力 要 求 。 其 主要 的 工作 内 容 如 下 

。 ”网 络 安全 信息 安全 培训 师资 力量 建设 ; 

。 ”网 络 安全 信息 安全 培训 教材 开发 / 选 购 ; 

。 ”网 络 安全 信息 安全 培训 环境 建立 ; 
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。 ”网 络 安全 信息 安全 意识 培训 ; 
。 ”网 络 安 全 信息 安全 技能 培训 。 


4.4.9 网 络 安全 标准 与 规范 构建 内 容 


网 络 信息 安全 标准 规范 有 利于 提升 网 络 安全 保障 能 力 ， 促 进 网 络 信息 安全 科学 化 管理 。 目 
前 ， 国 际 上 各 个 国家 和 相关 组 织 都 很 重视 网 络 信息 安全 标准 规范 的 研制 和 推广 。 国 际 上 的 相关 
组 织 机 构 主 要 有 ISO、 美国 NIST、OWASP、PCI ( Payment Card Industry) 、MITRE 等 。 比 较 
知名 的 网 络 安全 标准 规范 主要 有 RFC、DES、MD5、AES、OWASPTOP10、PCIDSS、CVE、 
CVSS 等 。 

一 般 企 事业 单位 的 网 络 安全 标准 与 规范 的 工作 目标 是 确保 本 机 构 的 网 络 安全 工作 符合 网 
络 安全 标准 规范 要 求 ， 避 免 网 络 安全 合 规 风 险 。 其 主要 的 工作 内 容 如 下 : 

。 网络 安 全 标准 规范 信息 获知 ; 

。 ”网 络 安全 标准 规范 制定 参与 ; 

。 ”网 络 安全 标准 规范 推广 应 用 ; 

。 ”网 络 安全 标准 规范 合 规 检查 。 

企 事业 单位 常用 的 网 络 安全 标准 与 规范 主要 如 下 

。 ”网络 安全 等 级 保护 标准 和 规范 ; 

。 ”网 络 设备 安全 配置 基准 规范 ; 

。 操作 系统 安全 配置 基准 规范 ; 

。 Web 网 站 安全 配置 基准 规范 ; 

。 数据库 安全 配置 基准 规范 ; 

。 ”代码 编写 安全 规范 。 


4.4.10 ”网 络 安全 运营 与 应 急 响 应 构建 内 容 


网 络 安 全 运营 与 应 急 响应 的 目标 是 监测 和 维护 网 络 信 息 系统 的 网 络 安全 状况 , 使 其 处 于 可 
接受 的 风险 级 别 。 其 主要 的 工作 内 容 如 下 

。 ”网 络 信息 安全 策略 修订 和 执行 ; 

。 ”网 络 信息 安全 态势 监测 和 预警 ; 

。 ”网 络 信息 系统 配置 检查 和 维护 ; 

。 ”网 络 信息 安全 设备 部 署 和 维护 ; 

。 ”网 络 信息 安 全 服务 设立 和 实施 ; 

。 ”网 络 信息 安全 应 急 预 案 制定 和 演练 

。 ”网 络 信息 安全 事件 响应 和 处 置 ; 

。 ”网 络 安全 运营 与 应 急 响 应 支撑 平台 维护 和 使 用 。 

网 络 安全 运营 与 应 急 响应 平台 如 图 4-13 所 示 。 一 般 企 事业 单位 要 建立 网 络 安全 集中 运 维 
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管理 服务 平台 ， 构 建 网 络 安全 运 维 服务 流程 和 操作 规范 ， 确 保安 全 操作 工作 按照 规范 执行 。 同 
时 ， 建 立 网 络 安全 应 急 响 应 预案 库 和 网 络 安全 应 急 响 应 协同 机 制 ， 实 现 网 络 安全 事件 的 积极 预 
防 、 及 时 发 现 、 快 速 响 应 、 有 效 处 置 。 


网 络 信息 资产 台 账 
| 食 

如 。 全 更 < 有 > 网 络 安全 运 
有 次 营 服务 内 部 
全 > < 工作 流程 和 和 

S 工 单 管理 规范 
最 0 和 习作 网 络 安 全 
披 抒 淮 “避免 重 复出 现 ”区 壕 知识 库 
告 网 络 安全 <- 人 网 络 安全 
网 事件 管理 趋势 分 机 > 问题 管理 
效 网 络 安全 运 
总 帮助 台 ( 网 页 /邮件 /人 工 电话 ) 值班 管理 入 全 

口 


图 4-13 网络 安全 运营 与 应 急 响 应 平台 示意 图 


4.4.11 网 络 安全 投入 与 建设 构建 内 容 


一 般 企 事业 单位 的 网 络 安全 投入 主要 包括 网 络 安全 专家 咨询 、 网 络 安全 测评 、 网 络 安全 系 
统 研发 、 网 络 安全 产品 购买 、 网 络 安全 服务 外 包 、 网 络 安全 相关 人 员 培 训 、 网 络 安全 资料 购买 、 
网 络 安全 应 急 响应 、 网 络 安全 岗位 人 员 的 人 力 成 本 等 。 

网 络 安全 建设 主要 的 工作 内 容 如 下 

。 ”网 络 安全 策略 及 标准 规范 制定 和 实施 

。 ”网 络 安全 组 织 管理 机 构 的 设置 和 岗位 人 员 配 备 ; 

。 ”网 络 安全 项 目 规划 、 设 计 、 实 施 ; 

。 ”网 络 安全 方案 设计 和 部 署 ; 

。 ”网 络 安全 工程 项 目 验 收 测评 和 交付 使 用 。 


4.5 网 络 安全 体系 建设 参考 案例 
本 节 给 出 网 络 安全 体系 建设 的 参考 案例 ， 主 要 包括 网 络 安全 等 级 保护 体系 、 智 慧 城市 安全 


体系 框架 、 智 能 交通 网 络 安全 体系 、ISO 27000 信息 安全 管理 体系 、 美 国 NIST 发 布 的 《提升 关 
键 基础 设施 网 络 安全 的 框架 》 等 。 
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4.5.1 网 络 安全 等 级 保护 体系 应 用 参考 


已 颁布 实施 的 《中 华人 民 共 和 国 网 络 安全 法 》 第 二 十 一 条 规定 ， 国 家 实行 网 络 安全 等 级 保护 制 
度 。 等 级 保护 制度 是 中 国 网 络 安全 保障 的 特色 和 基石 。 目 前 ， 相 关 部 门 正 在 积极 推进 国家 等 级 保护 制 
度 2.0 标准 的 制定 、 发 布 和 宣 贯 。 国 家 网 络 安全 等 级 保护 制度 2.0 框架 如 图 4-14 所 示 ， 体 系 框架 包括 
风险 管理 体系 、 安 全 管理 体系 、 安 全 技术 体系 、 网 络 信任 体系 、 法 律 法 规 体 系 、 政 策 标准 体系 等 。 


网 络 安全 战略 规划 目标 


总 体 安全 策略 
国家 网 络 安全 等 级 保护 制度 
国 | 定 级 备案 | 安全 建设 | 等 级 测评 安全 整改 监督 检查 | 家 
内 | 组 [机 [ 安 [ 安 |[ 通 [应 |[ 春 | 能 | 技 [ 安 |[ 队 [ 教 [ 经 | 名 
筷 | 级 | 制 | 侈 | 全 | 报 | 急 | 势 | 为 | 杰 | 全 | 全 | 育 | 费 | 侣 
络 | 管 | 建 | 秽 | 监 | 预 | 处 | 感 | 建 | 检 | 可 | 建 | 培 | 保 | 安 
客 | 理 | 设 | 划 | 测 | 警 | 四 | 知 | 设 | 测 | 控 | 设 | 训 | 障 | 舍 
法 网 络 安全 综合 防御 体系 级 
法 | 风 队 管理 体系 | 安全 管理 体系 | 安全 技术 体系 | 网 络 信任 体系 | 从 
此 安全 管理 中 心 村 
入 三， 通信 向 多 区 域 过 办 计算 环境 ”| 处 
汉 等 级 保护 对 象 售 
网 络 基础 设施 、 信 息 系统 、 大 数据 、 物 联网 
云 平台 、 工 控 系统 、 移 动 互联 网 、 智 能 设备 等 


图 4-14 ”网络 安全 等 级 保护 制度 2.0 框架 


网 络 安全 等 级 保护 工作 主要 包括 定 级 、 备 案 、 建 设 整改 、 等 级 测评 、 监 督 检查 五 个 阶段 。 
定 级 对 象 建设 完成 后 , 运营 、 使 用 单位 或 者 其 主管 部 门 选择 符合 国家 要 求 的 测评 机 构 , 依据 《 信 
息 安全 技术 网络 安 全 等 级 保护 测评 要 求 》 等 技术 标准 ， 定 期 对 定 级 对 象 的 安全 等 级 状况 开展 
等 级 测评 。 其 中 ， 定 级 对 象 的 安全 保护 等 级 分 为 五 个 ， 即 第 一 级 〈 用 户 自主 保护 级 ) 、 第 二 级 
(系统 保护 审计 级 ) 、 第 三 级 〈 安 全 标记 保护 级 ) 、 第 四 级 〈 结 构 化 保护 级 ) 、 第 五 级 〈 访 问 
验证 保护 级 ) 。 定 级 方法 如 图 4-15 所 示 。 

网 络 安全 等 级 保护 2.0 的 主要 变化 包括 : 一 是 扩大 了 对 象 范围 ， 将 云 计算 、 移 动 互联 、 物 
联网 、 工 业 控 制 系统 等 列 入 标准 范围 ， 构 成 了 “网 络 安全 通用 要 求 + 新 型 应 用 的 网 络 安全 扩展 要 
求 ”的 要 求 内 容 。 二 是 提出 了 在 “安全 通信 网 络 ”“ 安 全 区 域 边界 ”“ 安 全 计算 环境 ”和 “ 安 
全 管理 中 心 ” 支持 下 的 三 重 防护 体系 架构 。 三 是 等 级 保护 2.0 新 标准 强化 了 可 信 计 算 技 术 使 用 
的 要 求 ， 各 级 增加 了 “可 信和 验证 ”控制 点 。 其 中 ， 一 级 要 求 设备 的 系统 引导 程序 、 系 统 程序 等 
进行 可 信 验 证 ; 二 级 增加 重要 配置 参数 和 应 用 程序 进行 可 信 验 证 ， 并 将 验证 结果 形成 审计 记录 
送 至 安全 管理 中 心 ; 三 级 增加 应 用 程序 的 关键 执行 环节 进行 动态 可 信和 验证 ;四 级 增加 应 用 程序 
的 所 有 执行 环节 进行 动态 可 信和 验证 。 
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| 4. 确 定 系 统 服务 安全 受 
到 破坏 时 所 侵害 的 客体 一 一 一 一 
| 5. 综 合 评定 对 客体 的 侵 
害 程度 害 程度 

[3. 业 务 信息 安全 等 级 | 6. 系 统 服务 安全 等 级 


了 了 
7. 定 级 对 象 的 初步 安全 保护 等 级 


图 4-15” 定 级 方法 流程 示意 图 


4.5.2 ”智慧 城市 安全 体系 应 用 参考 


本 应 用 参考 案例 来 自 《 信 息 安全 技术 智慧 城市 安全 体系 框架 》。 智 慧 城市 安全 体系 框架 
以 安全 保障 措施 为 视角 ， 从 智慧 城市 安全 战略 保障 、 智 慧 城市 安全 技术 保障 、 智 慧 城市 安全 管 
理 保 障 、 智 慧 城市 安全 建设 与 运营 保障 、 智 慧 城市 安全 基础 支撑 五 个 方面 给 出 了 智慧 城市 的 安 
全 要 素 ， 如 图 4-16 所 示 。 


智慧 城市 安全 战略 保障 
A 人 
智慧 城市 安全 技术 保障 
智慧 城市 安全 一 、|| 智慧 城市 安全 
管理 保障 智慧 应 用 层 安全 建设 与 运营 保障 
应 用 软件 安全 | | 智能 终端 安全 | | Web 安 全 | | 技术 功能 要 素 
| S| a 而 1 让 刻 
| 数据 与 服务 融合 层 安全 防护 本 
牙 据 内 容 安 色 欧 据 融合 安信 | 限 务 融合 安全 
- = 监测 预警 
组 织 管理 计算 与 存储 层 安全 检测 3 
计算 安全 |[ 软件 安全 ][ 存储 安全 和 
wi ]| | mi 
| AI CT 
网 络 设备 安全 | 网 络 传输 安全 | | 终端 接 入 安全 灾难 恢复 
一 恢复 
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智慧 城市 安全 基础 支撑 
密 钥 与 证 书 、 身 份 管理 等 基础 支撑 设施 】 [认证 、 评 舍 、 检 测 、 审 查 、 设 计 等 基础 支撑 服务 


Sc 


图 4-16 智慧 城市 安全 体系 框架 
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智慧 城市 安全 体系 的 各 要 素 曾 述 如 下 。 
1. 智慧 城市 安全 战略 保障 


明确 国家 智慧 城市 安全 建设 总 体 方针 ， 按 要 求 约束 智慧 城市 安全 管理 、 技 术 以 及 建设 与 运 
营 活 动 。 智 慧 城市 安全 战略 保障 要 素 包 括 法 律 法 规 、 政 策 文件 及 标准 规范 。 


2. 智慧 城市 安全 管理 保障 
智慧 城市 安全 管理 保障 要 素 包括 决策 规划 、 组 织 管理 、 协 调 监督 、 评 价 改进 。 
3. 智慧 城市 安全 技术 保障 


以 建立 城市 纵深 防御 体系 为 目标 ， 从 物 联 感知 层 、 网 络 通信 层 、 计 算 与 存储 层 、 数 据 及 服 
务 融 合 层 以 及 智慧 应 用 层 五 个 层次 分 别 采 用 多 种 安全 防御 手段 ， 动 态 应 对 智慧 城市 安全 技术 风 
险 。 智 慧 城市 安全 技术 保障 的 功能 要 素 包括 防护 、 检 测 、 响 应 和 恢复 。 


4. 智慧 城市 安全 建设 与 运营 保障 


智慧 城市 信息 安全 工程 的 实施 包括 对 智慧 城市 整体 信息 安全 系统 的 开发 、 采 购 、 集 成 、 组 
装 、 配 置 及 测试 。 智 慧 城市 安全 运行 维护 包括 对 智慧 城市 信息 系统 运行 状态 的 监测 、 维 护 、 应 
急 处 置 与 恢复 ， 确 保 并 维持 智慧 城市 信息 系统 和 智慧 城市 中 的 各 项 业务 安全 有 序 地 运行 。 智 慧 
城市 安全 建设 与 运营 保障 要 素 包 含 工程 实施 、 监 测 预警 、 应 急 处 置 和 灾难 恢复 。 


S. 智慧 城市 安全 基础 支撑 


智慧 城市 安全 基础 支撑 设施 包括 密 钥 与 证 书 管理 基础 设施 、 身 份 管理 基础 设施 、 监 测 预警 
与 通报 基础 设施 、 容 灾 备 份 基础 设施 和 时 间 同 步 等 基础 设施 。 基 础 服务 支撑 包括 产品 和 服务 的 
资质 认证 、 安 全 评估 、 安 全 检测 、 安 全 审查 以 及 咨询 服务 等 。 


4.5.3 ”智能 交通 网 络 安全 体系 应 用 参考 


本 应 用 参考 案例 来 自 《 智 能 交通 网 络 安全 实践 指南 》。 智 能 交通 系统 是 集成 先进 的 信息 技术 、 
数据 通信 技术 、 计算机 处 理 技术 和 电子 自动 控制 技术 而 形成 的 复杂 系统 ,其 潜在 的 网 络 安全 风险 可 能 
危及 车 主 的 财产 和 生命 安全 。 按 照 “识别 风 险 、 设 计 规划 、 指 导 落 实 、 持 续 改进 ”的 体系 架构 设计 方 
法 论 ， 北 航 - 郴 郴 车 联网 安全 研究 院 、 交 通 运输 部 公路 科学 研究 院 、 普 华 永 道 等 联合 发 布 了 智能 交通 
网 络 安全 体系 建议 ， 如 图 4-17 所 示 。 智 能 交通 网 络 安全 体系 主要 包括 智能 交通 网 络 安全 管理 体系 、 
智能 交通 网 络 安全 技术 体系 、 智 能 交通 网 络 安全 运营 体系 、 智 能 交通 网 络 安全 评价 体系 。 

智能 交通 网 络 安全 管理 体系 架构 由 智能 交通 网 络 安全 职能 整体 架构 、 智 能 交通 产业 内 网 络 
安全 管理 框架 两 个 方面 组 成 , 如 图 4-18 所 示 。 智 能 交通 网 络 安全 职能 整体 架构 负责 处 理 产 业 链 
中 各 层级 的 管理 职能 分 配 以 及 各 层级 的 管理 、 汇 报 和 协作 关系 ;智能 交通 产业 内 网 络 安全 管理 
框架 则 负责 处 理 在 产业 内 具体 组 织 和 机 构 的 安全 管理 ， 具 体 包 括 安全 治理 、 安 全 管理 等 。 
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截图 (Alt+A) 


物 联网 络 


图 4-17 智能 交通 网 络 安全 体系 架构 


智能 交通 网 络 安全 职能 整体 架构 智能 交通 产业 内 网 络 安全 管理 构架 


; 
管 可 | 项 
理 研 || 目 
管理 安 ‖ 立 || 建 
执行 全 || 项 中 | 设 
求 ‖ 术 | 全 


图 4-18 智能 交通 网 络 安全 管理 体系 
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智能 交通 网 络 安 全 技术 体系 参考 我 国 WPDRRC 信息 安全 模型 和 国内 外 最 佳 实践 ， 明 确 以 
“数据 层 、 服 务 支撑 层 、 平 台 层 、 物 联网 通信 层 、 物 联网 智能 终端 ”为 保护 对 象 的 框架 ， 构 建 
智能 情报 、 身 份 认证 、 访 问 控制 、 加 密 、 防 泄漏 、 防 恶意 代码 、 安 全 加 固 、 安 全 监控 、 安 全 审 
计 和 可 用 性 设计 等 安全 技术 框架 ， 如 图 4-19 所 示 。 


公 全 监 后 | 慷 全 审计 
平台 | 由 平台 
城市 级 
用 户 ||| 用 声 | 实名 
访问 由 | 访问 | 中心 
用 户 用 户 
行为 行为 
物 联 网 
通信 | || 多 8 | | 公司 弘 
互联 网 | 备份 
访问 ||| 互联 网 
网 络 | 访问 
入 侵 | 网 络 
E 病毒 || 入 经 
发 平台 使 用 人 防护 病毒 
EE 洪 密 | 防护 
: em 有 
认证 组 人 智能 册 防 沪 密 恢复 
失控 异常 平台 
2 | 智能 
网 络 | | 通信 | | 配置 | | 安全 | | 安全 | | | 告 野 | | gor 肪 笋 改 ||| 接 异 抽 
困 构 | | 协议 | | 安全 | | 设备 | | 日 志 De | 
的 理 访问 | 防臭 改 
联网 和 拓 人 
物 联 网 智能 端 安全 8 可 用 性 
智能 端 数据 | | 由 加 环 十 | jgo 李 访 癌 || 建设 
汶 油 | | 认证 
省 车 E 
感知 | 移动 | 物 联 || 智 能 | 工业 | 通信 a 组 件 智能 端 理 环 : 
设备 | 终端 | 网 端 | 车 端 | 控制 | 设备 | 安全 监 拉 El 


图 4-19 智能 交通 网 络 安全 技术 体系 


智能 交通 网 络 安全 运营 体系 如 图 4-20 所 示 ， 由 三 个 要 素 组 成 :运营 管理 、 网 络 安全 事件 周 
期 性 管理 、 工 具 。 其 中 ， 运 营 管理 的 作用 是 有 效 衔接 安全 管理 体系 和 安全 技术 体系 ， 通 过 其 有 
效 运转 实现 安全 管理 体系 、 安 全 技术 体系 的 不 断 优化 提升 ; 网络 安全 事件 周期 性 管理 覆盖 预防 
〈 事 前 ) 、 监 控 〈 事 中 ) 、 响 应 (事后) ， 形 成 自主 有 效 的 闭环 ， 工 具 主 要 包括 事件 管理 、 工 
单 系 统 、 审 计 日 志 、 取 证 工具 、 安 全 扫描 和 合 规 平台 等 。 
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风险 管理 控制 选择 
身份 和 访问 管理 ES 资质 认证 


了 
里 E 于 件 复原 二 
ES BCP/DRP | 事件 跟 进 ”和 事后 分 析 


图 4-20 智能 交通 网 络 安全 运营 体系 


智能 交通 网 络 安全 评价 体系 如 图 4-21 所 示 ， 其 目标 是 建立 有 效 的 评价 体系 ， 推 动 整体 体 
系 的 持续 优化 和 改进 ， 使 整个 智能 交通 网 络 安全 体系 形成 有 效 的 闭环 。 


可 视 化 报表 


网 络 安全 评价 自动 化 了 


按照 自动 
组 织 分 层 可 视 化 
二 
按照 E 
领域 分 类 
管控 
体系 化 
按照 
影响 分 级 
治理 
清晰 化 


图 4-21 智能 交通 网 络 安全 评价 体系 
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4.5.4 1SO 27000 信息 安全 管理 体系 应 用 参考 
ISO 27000 信息 安全 管理 标准 最 初 起 源 于 英国 的 BS7799， 其 发 展演 变 过 程 如 图 4-22 所 示 。 


ISO 27000:2009 
ISM 词 江 


1993 1995 1999 2000 32005 3007 3009 
图 4-22 ISO 27000 标准 发 展演 变 过 程 图 


信息 安全 管理 系统 (ISMS ) 按照 PDCA 不 断 循 环 改进 ， 如 图 4-23 所 示 。 
计划 


“ 身份 信息 资产 及 ] 
. 评估 信息 安全 风险 况 
选择 相关 的 控制 措施 来 。 执行 


管理 不 可 接受 的 风险 
ISMS 执 行 、 操 作 


“纠正 措施 * 实施 控制 
* 预防 措施 * 管理 动作 
人 ISMS 监 视 、 复 审 We 
“监视 表现 
“评估 表现 


图 4-23 ISO 27000 中 的 PDCA 示意 图 
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其 主要 步骤 阐述 如 下 : 

(1) 计划 (Plan) 。 建 立 ISMS， 识 别 信息 资产 及 其 相关 的 安全 需求 ; 评估 信息 安全 风险 ; 
选择 合适 的 安全 控制 措施 ， 管 理 不 可 接受 的 风险 。 

(2) 执行 (Do) 。 实 现 和 运行 ISMS， 实 施 控制 和 运 维 管理 。 

(3) 检查 (Check) 。 监 测 和 评估 ISMS。 

(4) 处 理 (Act) 。 维 持 和 改进 ISMS。 

ISO 27001 给 出 的 信息 安全 管理 目标 领域 共计 十 一 项 ， 即 安全 策略 、 安 全 组 织 、 资 产 管理 、 
人 力 资 源 安全 、 物 理 与 环境 安全 、 通 信 与 运行 管理 、 访 问 控制 、 信 息 系统 获取 开发 与 维护 、 信 
息 安 全 事件 管理 、 业 务 持续 运行 、 符 合 性 。ISO 27002 则 根据 ISO 27001 的 三 十 九 个 控制 目标 ， 
给 出 了 实施 安全 控制 的 要 求 。 详 细 内 容 请 参见 标准 文档 。 


4.5.5 NIST 网 络 安全 框架 体系 应 用 参考 


美国 国家 标准 与 技术 研究 院 (NIST) 发 布 了 《提升 关键 基础 设施 网 络 安全 的 框架 》， 框 架 
的 核心 结构 如 图 4-24 所 示 。 


ESESTTRI 


六 守 守 3 
bra Dir 人 AA | 


4-24 NIST 网 络 安全 框架 核心 结构 图 


该 框架 首先 定义 了 五 个 核心 功能 : 识别 、 保 护 、 检 测 、 响 应 和 恢复 。 然 后 ， 按 照 功 能 进行 
分 类 ， 每 个 功能 的 分 数 对 应 具体 的 子 类 ， 最 后 给 出 参考 性 文献 。NIST 网 络 安全 框架 的 五 个 核 
心 功能 分 别 益 述 如 下 。 

(1) 识别 〈Identify) 是 指 对 系统 、 资 产 、 数 据 和 网 络 所 面临 的 安全 风险 的 认识 以 及 确认 。 
NIST 网 络 安全 框架 识别 功能 对 应 分 类 如 表 4-3 所 示 。 


功能 唯一 识别 标志 
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表 4-3 NIST 网 络 安全 框架 识别 功能 对 应 分 类 表 
类 型 唯一 识别 标志 


(Function Unique ee (Category Unique ( 
Identifier) Identifier) 
Asset Management 
Wii 资产 管理 
Business Environment 
Os 商业 环境 
Governance 
ID Identify 治理 
i Risk Assessment 
风险 评估 
Risk Management 
ID.RM Strategy 
风险 管理 策略 


(2) 保护 (Protect) 是 指 制定 和 实施 合适 的 安全 措施 ， 确 保 能 够 提供 关键 基础 设施 服务 。 
NIST 网 络 安 全 框架 保护 功能 对 应 分 类 如 表 4-4 所 示 。 


功能 唯一 识别 标志 
(Function Unique 
Identifier) 


PR 


表 4-4 NIST 网 络 安全 框架 保护 功能 对 应 分 类 表 
类 型 唯一 识别 标志 


芒 能 (Category Unique 关于 
(Function) ldentifier) (Category) 
Access Control 
访问 控制 
Awareness and Training 
意识 和 培训 
数据 安全 
Protect Information Protection Processes 


and Procedures 
信息 保护 流程 和 规程 
Maintenance 

维护 

Protective Technology 
保护 技术 


PR.IP 


(3) 检测 (Detect) 是 指 制 定 和 实施 恰当 的 行动 以 发 现 网 络 安全 事件 。NIST 网 络 安全 框架 
检测 功能 对 应 分 类 如 表 4-5 所 示 。 
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功能 唯一 识别 标志 


表 4-5 NIST 网络 安全 框架 检测 功能 对 应 分 类 表 


类 型 唯一 识别 标志 


(Function Uni (Cat Uni 人 
EE (Function) OY EE (Category) 
Identifier) ldentifier) 
六 Anomalies and Events 
. 异常 和 事件 
Security Continuous Monitoring 
DE Detect DE.CM 


(4) 响应 (Respond) 是 指 对 已 经 发 现 的 网 络 安全 事件 采取 合适 的 行动 。NIST 网 络 安全 框 


架 响 应 功能 对 应 分 类 如 表 4-6 所 示 。 


功能 唯一 识别 标志 
(Function Unique 
Identifier) 


RS 


(5) 恢复 (Recover) 是 指 制定 和 实施 适当 的 行动 ， 以 弹性 容忍 安全 事件 出 现 并 修复 受 损 


安全 持续 监测 


DE.DP 


Detection Processes 


检测 处 理 


表 4-6 NIST 网 络 安全 框架 响应 功能 对 应 分 类 表 


功 能 
(Function) 


Respond 


类 型 唯一 识别 标志 
(Category Unique 
Identifier) 


RS.RP 
RS.CO 
RS.AN 
RS.MI 


RS.IM 


类 型 
(Category) 


Response Planning 
响应 计划 
Communications 
通信 

Analysis 

分 析 

Mitigation 

缓解 
Improvements 


改进 


的 功能 或 服务 。NIST 网 络 安全 框架 恢复 功能 对 应 分 类 如 表 4-7 所 示 。 


功能 唯一 识别 标志 


表 4-7 NIST 网 络 安全 框架 恢复 功能 对 应 分 类 表 


类 型 唯一 识别 标志 


(Function Unique 了 (Category Unique ( 
Identifier) Identifier) 
Recovery Planning 
恢复 计划 
RC Recover RC.IM Mprovemenls 
改进 
RECO Communications 


通信 
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4.6 ”本 章 小 结 


本 章 内 容 主 要 包括 : 第 一 ， 讲 述 了 网 络 安全 体系 的 基本 概念 以 及 相关 安全 模型 ， 主 要 包括 
机 密 性 模型 、 完 整 性 模型 、 信 息 流 模 型 、 信 息 保障 模型 、 能 力 成 熟 度 模型 、 纵 深 防 御 模 型 、 分 
层 防护 模型 、 等 级 保护 模型 和 网 络 生存 模型 ， 第 二 ， 归 纳 了 网 络 安全 体系 的 建立 应 该 遵循 的 原 
则 和 网 络 安全 策略 ;第 三 ， 详 细 分 析 了 网 络 安全 体系 建设 框架 及 相关 组 成 要 素 的 构建 内 容 ， 第 
四 ， 给 出 了 网 络 安全 等 级 保护 、 智 慧 城市 和 智能 交通 等 网 络 安全 体系 建设 参考 案例 。 
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5.1 物理 安全 概念 与 要 求 


物理 安全 是 网 络 安全 的 基础 ， 本 节 首先 阐述 物理 安全 的 基本 概念 ， 然 后 分 析 物 理 安全 的 威 
胁 类 型 ， 并 给 出 了 物理 安全 保护 及 安全 规范 的 相关 内 容 。 


5.1.1 ”物理 安全 概念 


传统 上 的 物理 安全 也 称 为 实体 安全 ， 是 指 包括 环境 、 设 备 和 记录 介质 在 内 的 所 有 支持 网 络 
信息 系统 运行 的 硬件 的 总 体 安全 ， 是 网 络 信息 系统 安全 、 可 靠 、 不 间断 运行 的 基本 保证 ， 并 且 
确保 在 信息 进行 加 工 处 理 、 服 务 、 决 策 支 持 的 过 程 中 ， 不 致 因 设备 、 介 质 和 环境 条 件 受 到 人 为 
和 自然 因素 的 危害 ， 而 引起 信息 丢失 、 泄 露 或 破坏 以 及 干扰 网 络 服务 的 正常 运行 。 

广义 的 物理 安全 则 指 由 硬件 ， 软 件 ， 操 作 人 员 ， 环 境 组 成 的 人 、 机 、 物 融合 的 网 络 信息 物 
理 系统 的 安全 。 


5.1.2 ”物理 安全 威胁 


物理 安全 是 网 络 信息 系统 安全 运行 、 可 信 控 制 的 基础 。 随 着 云 计算 、 大 数据 、 物 联网 等 新 
兴 网 络 信息 科技 应 用 的 兴起 ， 数 据 中心 、 智 能 设备 、 服 务 器 、 通 信 线 路 等 的 物理 安全 日 益 重 要 ， 
物理 安全 直接 影响 业务 的 正常 运转 ， 甚 至 一 个 城市 的 运行 和 人 们 的 生命 安全 。 物 理 安全 方面 的 
安全 事件 也 时 有 发 生 ，2008 年 由 于 连接 欧洲 和 中 东 的 三 条 海底 光缆 损坏 ， 埃 及 互联 网 和 国际 
电话 服务 瘫痪 。2012 年 12306 因 机 房 空调 系统 故障 ， 暂停 互 联网 售票 服务 。2015 年 支付 宝 因 
“光纤 被 挖 断 ”而 出 现 大 规模 服务 中 断 ， 之 后 携程 网 也 因 故 障 “ 凑 痪 ”。 常 见 的 物理 安全 威胁 
如 图 5-1 所 示 。 

随 着 网 络 攻击 技术 的 发 展 ， 物 理 系统 安全 面临 硬件 攻击 的 威胁 ， 与 传统 的 物理 安全 威胁 比 
较 ， 新 的 硬件 威胁 更 具有 隐蔽 性 、 危 害 性 ， 攻 击 具有 主动 性 和 非 临近 性 。 下 面 给 出 常见 的 硬件 
攻击 技术 与 相关 实例 。 
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[自然 安全 威胁 火灾 


物理 安全 威胁 


人 为 安全 威胁 


毁坏 
硬件 攻击 


图 5-1 物理 安全 威胁 示意 图 


1. 硬件 木马 


硬件 木马 通常 是 指 在 集成 电路 芯片 (IC) 中 被 植 入 的 恶意 电路 ， 当 其 被 某 种 方式 激活 后 ， 
会 改变 IC 的 原 有 功能 和 规格 ， 导 致 信息 泄露 或 失去 控制 ， 带 来 非 预期 的 行为 后 果 ， 造 成 不 可 
逆 的 重大 危害 。IC 整个 生命 周期 内 的 研发 设计 、 生 产 制 造 、 封 装 测试 以 及 应 用 都 有 可 能 被 植 入 
恶意 硬件 逻辑 ， 形 成 硬件 木马 ， 如 图 5-2 所 示 。 
EDA 工 具 | | 软 / 硬 IP 核 在 IP 中 植 入 硬件 木马 
供应 商 供应 商 (由 IP 设 计 者 ) 


IRI) lm 


iL 在 IC 设 计 中 植 入 硬件 木马 
IC 设 计 团队 (由 不 可 信 EDA 工 具 /IC 设 计 者 ) 


GDS-II 
逆向 工程 GDS-IL/ 裸 片 并 植 入 硬 
代 工 厂 件 木马 、IC/IP 次 版、 伪造 、 复 制 、 
过 建 等 (由 代 工 厂 中 的 攻击 者 等 ) 
、 ICs 
| 含 硬件 木马 的 ICVIP 通 过 测试 、 
制作 测试 1C 盗 窃 〈 由 不 可 信 的 测试 者 等 ) 
A 1C5 通 过 测试 
IC 盗窃 、 物 理 攻击 〈 逆 向 工程 、 
旁 路 攻击 、 错 误 注 入 、 拒 绝 服 
一 等 ) 、 用 含 硬件 木马 IC 替换 原 IC 


PCB/COTS 组 件 中 植 入 硬件 
木马 、PCB 资 版 ( 抄 板 、 算 
改 、 蔡 换 、 克 隆 、 过 建 等 ) 


5-2 IC 硬件 木马 攻击 示意 图 
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2. 硬件 协同 的 恶意 代码 


2008 年 Samuel TKing 等 研究 人 员 设 计 和 实现 了 一 个 恶意 的 硬件 ， 该 硬件 可 以 使 得 非特 权 
的 软件 访问 特权 的 内 存 区 域 。Cloaker 是 硬件 支持 的 Rootkit， 如 图 5-3 所 示 。 


Cloaker 攻击 前 Cloaker 攻击 后 
sd 0OxXFFFFFFFF 
! | 操作 系统 中 断 向 量 | ， 0xFFFF0000 | 操作 系统 中 断 向 量 
EE 
操作 系统 处 理 句柄 | .| ? 操作 系统 处 理 句柄 
[| 主机 操作 
系统 代码 Cloaker Payload 代码 
本 到 | Cloaker 代码 
0x00000000 Cloaker 中 断 向 量 


图 5-3 Cloaker 恶意 代码 攻击 示意 图 


3. 硬件 安全 漏洞 利用 


同 软件 类 似 ， 硬 件 同样 存在 致命 的 安全 漏洞 。 硬 件 安全 漏洞 对 网 络 信息 系统 安全 的 影响 更 
具有 持久 性 和 破坏 性 。2018 年 1 月 发 现 的 “熔断 (Meltdown) ”和 “幽灵 (Spectre) ”CPU 
漏洞 属于 硬件 安全 漏洞 。 该 漏洞 可 被 用 于 以 侧 信道 方式 获取 指令 预 取 、 预 执行 对 cache 的 影响 
等 信息 ， 通 过 cache 与 内 存 的 关系 ， 进 而 获取 特定 代码 、 数 据 在 内 存 中 的 位 置信 息 ， 从 而 利用 
其 他 漏洞 对 该 内 存 进行 读 取 或 算 改 ， 实 现 攻 击 目 的 。 


4. 基于 软件 漏洞 攻击 硬件 实体 


利用 控制 系统 的 软件 漏洞 , 修改 物理 实体 的 配置 参数 , 使 得 物理 实体 处 于 非 正 常 运行 状态 ， 
从 而 导致 物理 实体 受到 破坏 。“ 震 网 ”病毒 就 是 一 个 攻击 物理 实体 的 真实 案例 。 
$5. 基于 环境 攻击 计算 机 实体 


利用 计算 机 系统 所 依赖 的 外 部 环境 缺陷 ， 恶 意 破坏 或 改变 计算 机 系统 的 外 部 环境 ， 如 电磁 
波 、 磁 场 、 温 度 、 空 气 湿度 等 ， 导 致 计算 机 系统 运行 出 现 问题 。 例 如 ， 电 磁场 太 强 则 容易 干扰 
网 络 通信 传输 信号 ;温度 高 则 容易 烧 坏 计算 机 硬件 设备 ， 空 气 湿度 太 大 则 计算 机 硬件 容易 吸附 
灰尘 ， 进 而 影响 计算 机 性 能 。 
5.1.3 ”物理 安全 保护 


一 般 来 说 ， 物 理 安全 保护 主要 从 以 下 方面 采取 安全 保护 措施 ， 防 范 物理 安全 威胁 。 
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1. 设备 物理 安全 


设备 物理 安全 的 安全 技术 要 素 主要 有 设备 的 标志 和 标记 、 防止 电磁 信息 泄露 、 抗 电磁 干扰 、 
电源 保护 以 及 设备 振动 、 碰 撞 、 冲 击 适 应 性 等 方面 。 除 此 之 外 ， 还 要 确保 设备 供应 链 的 安全 及 
产品 的 安全 质量 ， 防 止 设备 其 他 相关 方面 存在 硬件 木马 和 硬件 安全 漏洞 。 知 能 设备 还 要 确保 赔 
入 的 软件 是 安全 可 信 的 。 


2. 环境 物理 安全 


环境 物理 安全 的 安全 技术 要 素 主要 有 机 房 场地 选择 、 机 房 屏蔽 、 防 火 、 防 水 、 防 雷 、 防 鼠 、 
防盗 、 防 毁 、 供 配 电 系统 、 空 调 系统 、 综 合 布线 和 区 域 防护 等 方面 。 


3. 系统 物理 安全 


系统 物理 安全 的 安全 技术 要 素 主要 有 存储 介质 安全 、 灾 难 备份 与 恢复 、 物 理 设备 访问 、 设 
备 管理 和 保护 、 资 源 利用 等 。 

物理 安全 保护 的 方法 主要 是 安全 合 规 、 访 问 控制 、 安 全 屏蔽 、 故 障 容错 、 安 全 监测 与 预警、 
供应 链 安全 管理 和 容 灾 备份 等 


5.1.4 ”物理 安全 规范 


为 更 好 地 指导 物理 安全 保障 建设 ,国家 有 关 部 门 相继 制定 了 物理 安全 方面 的 标准 规范 ， 主 
要 列举 如 下 : 

。 《计算 机 场地 通用 规范 (GB/T 2887 一 2011)》; 

。 《计算 机 场地 安全 要 求 (GB/T 9361 一 2011)》; 

。 《数据 中 心 设计 规范 (GB 50174 一 2017)》; 

。 《数据 中 心 基础 设施 施工 及 验收 规范 (GB 50462 一 2015)》; 

。 《互联 网 数据 中 心 工程 技术 规范 (GB 51195 一 2016)》; 

。 《数据 中 心 基础 设施 运行 维护 标准 (GB/T 51314 一 2018)》; 

。 《信息 安全 技术 ”信息 系统 物理 安全 技术 要 求 (GB/T 21052 一 2007)》。 

以 上 所 列 出 的 技术 规范 对 网 络 信息 系统 的 物理 安全 从 环境 选择 、 安 全 工作 区 域 划分 、 物 理 
访问 控制 、 防 火 设 施 、 供 电 系统 、 防 水 、 防 潮 、 防 静电 、 防 雷 、 防 电磁 、 通 信 线 路 防护 、 保 安 
监控 、 设 备 防护 、 介 质 媒体 防护 和 机 房管 理 等 方面 提出 规范 要 求 。 

其 中 ，《 信 息 系统 物理 安全 技术 要 求 (GB/T 21052 一 2007) 》 则 将 信息 系统 的 物理 安全 进 
行 了 分 级 ， 并 给 出 设备 物理 安全 、 环 境 物理 安全 、 系 统 物理 安全 的 各 级 对 应 的 保护 要 求 ， 具 体 
要 求 目标 如 下 : 

。 ”第 一 级 物理 安全 平台 为 第 一 级 用 户 自 主 保护 级 提供 基本 的 物理 安全 保护 ; 

。 ”第 二 级 物理 安全 平台 为 第 二 级 系统 审计 保护 级 提供 适当 的 物理 安全 保护 ; 
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。 ”第 三 级 物理 安全 平台 为 第 三 级 安全 标记 保护 级 提供 较 高 程度 的 物理 安全 保护 ; 
。 ”第 四 级 物理 安全 平台 为 第 四 级 结构 化 保护 级 提供 更 高 程度 的 物理 安全 保护 。 
有 关 物 理 安全 保护 的 详细 要 求 可 参看 标准 。 


5.2 ”物理 环境 安全 分 析 与 防护 


物理 环境 安全 是 计算 机 设备 、 网 络 设备 正常 运行 的 保障 。 本 节 内 容 是 物理 环境 安全 防护 ， 
主要 包括 防火 、 防 水 、 防 震 、 防 盗 、 防 鼠 虫 害 、 防 雷 、 防 电磁 、 防 静电 和 安全 供电 。 


5.2.1 防火 


火灾 是 网 络 机 房 比较 普遍 的 、 危 害 较 大 的 灾害 之 一 。 火 灾 的 原因 主要 有 : 电线 破损 、 电 气 
短路 、 抽 烟 失误 、 荤 意 放火 、 接 线 错误 、 外 部 火 情 蔓 延 到 机 房 内 以 及 技术 上 或 管理 上 的 原因 等 。 
为 了 避免 火灾 的 发 生 或 在 发 生火 灾 时 使 损失 降 到 最 小 限度 ， 通 常 应 采取 以 下 的 防火 措施 。 

(1) 消除 火灾 隐患 。 机 房 的 构件 ， 如 墙壁 、 地 板 、 屋 项 、 隔 断 、 吸 热 、 消 音 材 料 都 应 采用 
难 燃 或 不 燃 材料 。 同 时 ， 安 装 保护 装置 避免 电源 及 导线 引起 火灾 ,禁止 在 机 房 内 放置 易 燃 物品 。 

(2) 设置 火灾 报警 系统 。 为 了 尽早 发 现 火灾 ， 必 须 在 安全 机 房 、 媒 体 存 放 库 内 、 活 动 地 板 
下 、 吊 顶 里 、 空 调 管道 内 、 易 燃 物 附近 部 位 以 及 其 他 人 员 不 经 常 出 入 或 视线 达 不 到 的 地 方 ， 安 
装 探测 器 等 火灾 报警 系统 。 

(3) 配置 灭火 设备 。 在 网 络 系统 关键 区 域 中 安放 灭火 设备 以 备 发 生火 灾 时 急用 。 灭 火 剂 有 
四 种 类 型 : 水、 二 氧化 碳 、 固 态 化 学 品 和 讽 代 烷 1211 (Halonl211) 或 1301。 二 氧化 碳 灭火 剂 
是 一 种 应 用 较 早 的 灭火 剂 。 南 代 烷 1211 和 1301 灭火 剂 是 近 几 年 发 展 起 来 的 、 以 安全 洁净 著称 
的 化 学 灭火 剂 ， 其 特点 是 灭火 效率 高 ， 毒 性 小 ， 不 污染 计算 机 设备 和 记录 介质 ， 因 此 是 比较 理 
想 的 灭火 材料 。 

(4) 加 强 防火 管理 和 操作 规范 。 为 了 确保 防火 ， 应 加 强 防 火 管理 ， 并 经 常 对 机 房 人 员 进 行 
消防 教育 和 训练 ， 定 期 维护 保养 灭火 装置 和 报警 系统 。 


5.2.2 防水 


水 灾 不 仅 会 浸泡 电缆 ， 破 坏 绝缘 ， 甚 至 会 导致 计算 机 设备 短路 或 损坏 ， 为 此 应 采取 一 定 的 
防护 措施 。 

(1) 机 房 内 不 得 铺设 水 管 和 蒸汽 管道 。 若 非 铺设 不 可 ， 则 必须 采取 防 渗 漏 措施 。 

(2) 机 房 墙壁 、 天 花 板 、 地 面 应 有 防水 、 防 潮 性 能 。 

(3) 通 有 水 管 的 地 方 应 设置 止 水 阀 和 排水 沟 。 

(4) 不 要 把 机 房 设置 在 楼 房 底层 或 地 下 室 ， 以 防水 侵蚀 或 受潮 。 

(5) 如 有 通 往 机 房 的 电缆 沟 ， 要 防止 下 雨 时 电线 沟 进 水 漫 到 机 房 。 通 往 机房 地 沟 的 墙壁 和 
地 面 应 能 防水 渗透 。 


第 5 章 物理 与 环境 安全 技术 “ 国 101 荐 


5.2.3 防震 


震动 会 对 网 络 设备 造成 不 同 程度 的 损坏 ,特别 是 一 些 高 速 运转 的 设备 。 防 震 是 保护 网 络 设 
备 的 重要 措施 之 一 。 通 常 采 取 的 防震 措施 有 : 

(1) 网 络 机 房 所 在 的 建筑 物 应 具有 抗 地 震 能 力 ; 

(2) 网 络 机 柜 和 设备 要 固定 牢靠 ， 并 安装 防震 装置 ; 

(3) 加 强 安全 操作 管理 ， 例 如 禁止 搬 动 在 线 运行 的 网 络 设备 。 


5.2.4 防盗 


当 网 络 设备 被 资 时 ， 损 失 难以 估计 ， 重 则 造成 系统 瘫痪 。 因 此 ， 防 盗 是 物理 安全 防护 的 重 
要 内 容 。 通 常 采 取 的 防盗 措施 主要 有 : 

(1) 设置 报警 器 : 在 网 络 系统 周围 放置 报警 器 ， 当 有 人 进入 时 ， 会 发 出 报警 声音 ; 

(2) 锁定 装置 : 在 网 络 系统 中 ， 特 别 是 在 个 人 计算 机 中 设置 锁定 装置 ， 以 防 犯罪 盗窃; 

(3) 摄像 监控 ， 在 重要 网 络 区 域 中 ， 安 装 摄像 头 ， 实 时 监控 重点 区 域 的 人 员 活 动情 况 

(4) 严格 物理 访问 控制 ， 划 定安 全 区 域 ， 限 制 无 关 人 员 进 入 。 例 如 通过 刷卡 才能 进入 安全 区 域 ; 

(5) 安全 监控 : 采用 人 脸 识别 技术 ， 防 止 非 授权 人 员 进 入 重要 的 物理 区 域 。 


5.2.5“” 防 鼠 虫 害 


鼠 虫 害 也 是 造成 设备 故障 的 因素 之 一 ， 其 主要 危害 是 窜 入 机 房 内 的 鼠 虫 咬 坏 电缆 或 引起 电 
源 短路 。 鼠 虫害 的 安全 影响 主要 有 : 

(1) 哨 食 电缆 :造成 漏电 、 电 源 短路 ; 

(2) 筑 窝 、 排 凑 : 造成 断 线 、 短 路 ， 部 件 腐蚀 ， 接 触 不 良 。 

解决 鼠 虫 害 的 办 法 有 : 

(1) 尽量 减少 不 必要 的 洞口 或 用 后 予以 堵塞 ， 封 堵 鼠 虫 出 口 洞 口 ; 

(2) 在 机 房 中 可 利用 超声 波 驱 鼠 ， 或 设置 一 些 捕 鼠 器 械 ; 

(3) 投放 杀 鼠 药物 ， 或 在 电线 上 涂 上 环 己基 类 防 鼠 剂 ; 

(4) 在 电缆 外 施加 毒饵 ， 以 消灭 鼠 虫 ， 或 利用 搜 鼠 工具 捕 鼠 。 


5.2.6 防 雷 


雷击 对 网 络 设备 以 及 网 络 运行 有 着 直接 的 影响 , 雷击 有 时 会 损害 网 络 设备 , 中 断 网 络 通信 。 
因此 ， 防 雷 是 网 络 物理 安全 的 重要 内 容 之 一 ， 常 见 的 防 雷 措施 有 

(1) 在 网 络 设备 所 处 的 环境 中 安装 避雷 针 ; 

(2) 网 络 设备 安全 接地 ， 并 将 该 “地 线 ” 连 通 机房 的 地 线 网 ， 以 确保 其 安全 保护 作用 ; 

(3) 对 重要 网 络 设备 安装 专用 防 雷 设施 。 
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5.2.7 ” 防 电 磁 


电磁 辐射 危险 不 仅 会 影响 设备 运行 ， 而 且 也 会 引起 信息 的 泄露 。 因 此 ， 电 磁 防 护 包含 两 个 
方面 内 容 : 一 是 防止 电磁 干扰 网 络 设备 的 正常 运行 ， 二 是 防止 信息 通过 电磁 泄漏 。 一 般 电磁 防 
护 的 安全 措施 有 : 

(1) 采用 接地 的 方法 : 防止 外 界 电磁 干扰 和 设备 寄生 耦合 干扰 ; 

(2) 采用 屏蔽 方法 : 对 信号 线 、 重 要 设备 进行 电磁 屏 项 ， 减 少 外 部 电器 设备 的 瞬间 干扰 以 
及 防止 电磁 信号 的 泄漏 ; 

(3) 选择 合适 的 场地 : 远离 电磁 干扰 源 。 


5.2.8 ” 防 静 电 


静电 也 会 影响 网 络 系统 运转 ， 因 此 重要 的 核心 设备 的 静电 防护 至 关 重 要 。 为 了 防止 静电 损 
坏 网 络 设备 ， 通 常 采 取 的 安全 措施 有 : 

(1) 人 员 服 装 采用 不 易 产 生 静 电 的 衣料 ， 工 作 鞋 选用 低 阻 值 材料 制作 ; 

(2) 控制 机 房 温 、 湿 度 ， 使 其 保持 在 不 易 产 生 静 电 的 范围 内 ; 

(3) 机 房 地 板 从 地 板 表面 到 接地 系统 的 阻 值 ， 应 能 保证 防止 人 身 触 电 和 产生 静电 

(4) 机 房 中 使 用 的 各 种 工作 台 、 柜 等 ， 应 选择 产生 静电 小 的 材料 ; 

(5) 在 进行 网 络 设备 操作 时 ， 应 戴 防 静 电 手 套 。 


5.2.9 ”安全 供电 


电源 直接 影响 网 络 系 统 的 可 靠 运 转 ， 造 成 电源 不 可 靠 的 因素 有 电压 瞬 变 、 瞬 时 停电 和 电压 
不 足 等 。 为 了 确保 网 络 不 间断 运行 ， 通 常 采 取 以 下 安全 措施 : 

(1) 专用 供电 线路 : 重要 的 网 络 设备 、 服 务 器 使 用 专用 供电 线路 ， 避 免 干 扰 ; 

(2) 不 间断 电源 (UPS〉: 使 用 UPS 为 网 络 中 的 重要 设备 供电 ， 不仅 能 解决 停电 问题 ， 而 
且 能 应 对 各 种 瞬 变 、 噪 声 、 电 压 下 降 。 但 是 ，UPS 蓄电池 的 供电 时 间 有 限 ， 不 能 长 时 间 供 电 ; 

(3) 备用 发 电机 : 在 发 生长 时 间 的 断 电 ， 而 网 络 必须 运转 时 ， 启 动 备用 发 电机 。 


5.3 机房 安全 分 析 与 防护 


机 房 是 网 络 信息 系统 的 重要 设备 的 承载 场所 。 本 节 内 容 是 机 房 安全 防护 ， 主 要 包括 机 房 功 
能 区 域 组 成 、 机 房 安全 等 级 划分 、 机 房 场地 选择 要 求 、 数 据 中 心 建设 与 设计 要 求 、 互 联网 数据 
中 心 、CA 机 房 物理 安全 控制 。 


5.3.1 机 房 功能 区 域 组 成 


一 般 来 说 ， 机 房 的 组 成 是 根据 计算 机 系统 的 性 质 、 任 务 、 业 务 量 大 小 、 所 选用 计算 机 设备 的 
类 型 以 及 计算 机 对 供电 、 空 调 、 空 间 等 方面 的 要 求 和 管理 体制 而 确定 的 。 按 照 《 计 算 机 场地 通用 
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规范 (GB/T 2887 一 2011) 》 的 规定 ， 计 算 机 机 房 可 选用 下 列 房间 (允许 一 室 多 用 或 酌情 增 减 〉: 
(1) 主要 工作 房间 : 主机 房 、 终 端 室 等 ; 
(2) 第 一 类 辅助 房间 : 低压 配 电 间 、 不 间断 电源 室 、 蓄 电池 室 、 空 调 机 室 、 发 电机 室 、 气 
体 钢瓶 室 、 监 控 室 等 ; 
(3) 第 二 类 辅助 房间 : 资料 室 、 维 修 室 、 技 术 人 员 办 公 室 
(4) 第 三 类 辅助 房间 : 储藏 室 、 缓 冲 间 、 技 术 人 员 休息 室 、 铀 洗 室 等 。 


5.3.2 机房 安全 等 级 划分 


机 房 中 的 实体 是 由 电子 设备 、 机 电 设备 和 光 磁 材料 组 成 的 复杂 的 系统 。 这 些 设备 的 可 靠 性 
和 安全 性 与 环境 条 件 有 着 密切 的 关系 。 如 果 环 境 条 件 不 能 满足 设备 对 环境 的 使 用 要 求 ， 就 会 降 
低 计 算 机 、 网 络 设备 的 可 靠 性 和 安全 性 ， 轻 则 造成 数据 或 程序 出 错 、 破 坏 ， 重 则 加 速 元 器 件 老 
化 ， 缩 短 机 器 寿命 ， 或 发 生 故 障 使 系统 不 能 正常 运行 ， 严 重 时 还 会 危害 设备 和 人 员 的 安全 。 根 
据 《计算 机 场地 安全 要 求 《GB/T 9361 一 2011) 》， 计 算 机 机 房 的 安全 等 级 分 为 A 级 、B 级 、C 
级 三 个 基本 级 别 ， 下 面 分 别 介绍 各 级 的 特点 
。 A 级 : 计算 机 系统 运行 中 断后 , 会 对 国家 安全 、 社 会 秩序 、 公 共 利 益 造 成 严重 损害 的 ; 
对 计算 机 机 房 的 安全 有 严格 的 要 求 ， 有 完善 的 计算 机 机 房 安全 措施 。 
。 B 级 : 计算 机 系统 运行 中 断后 , 会 对 国家 安全 、 社 会 秩序 、 公 共 利 益 造 成 较 大 损害 的 ; 
对 计算 机 机 房 的 安全 有 较 严 格 的 要 求 ， 有 较 完 善 的 计算 机 机 房 安全 措施 。 
。 C 级 : 不 属于 A、B 级 的 情况 ， 对 计算 机 机 房 的 安全 有 基本 的 要 求 ， 有 基本 的 计算 机 
机 房 安 全 措施 。 
根据 计算 机 系统 的 规模 、 用 途 , 计算 机 机 房 安全 可 按 某 一 级 执行 ,也 可 按 某 些 级 综合 执行 。 
综合 执行 是 指 计算 机 机 房 可 按 某 些 级 执行 , 如 某 计算 机 机 房 按照 安全 要 求 可 选 : 电磁 干扰 A 级 ， 
火灾 报警 及 灭火 C 级 。 
计算 机 机 房 不 同等 级 的 安全 级 别 要 求 如 表 5-1 所 示 。 


表 5-1 安全 级 别 要 求 
级 别 


火灾 自动 报警 系统 
自动 灭火 系统 
灭火 器 
内 部 装修 
供 配 电 系统 
空气 调节 系统 
防水 


ololololololololo 
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bb 
站 
四 
站 
[9 
站 


出 入 口 控制 系统 


Ololololololololo 


集中 监控 系统 


注 : O: 表示 要 求 并 可 有 附加 要 求 ; 口 ， 表示 要 求 ; 一 : 表示 无 需要 求 。 
5.3.3 机房 场地 选择 要 求 
计算 机 、 网 络 设备 等 极 易 受 到 外 界 的 影响 ， 振 动 、 冲 击 、 电 磁 干扰 、 电 压 变化 、 机 房 温 度 和 


湿度 变化 等 都 会 影响 计算 机 、 网 络 设备 的 可 靠 性 、 安 全 性 ， 轻 则 造成 工作 不 稳定 ， 性 能 降低 ， 重 则 
造成 网 络 故障 ， 甚 至 损坏 硬件 。 因 此 , 机 房 场 地 的 选择 至 关 重 要 , 具体 要 求 可 从 以 下 几 个 方面 考虑 。 


1. 环境 安全 性 


(1) 应 避 开 危险 来 源 区 。 为 了 防止 计算 机 机 房 遭 到 周围 不 利 环境 的 意外 侵害 ， 应 尽量 避免 
将 机 房 建 在 易 燃 易 爆 的 场所 ， 如 化 工 库 、 油 料 库 、 液 化 气 站 或 煤气 站 等 火 源 附近 。 


(2) 应 避 开 


环境 污染 区 , 如 化 工 污染 区 和 有 毒气 体 、 腐 蚀 性 气体 污染 区 及 尘埃 较 多 的 区 域 ， 


如 石灰 厂 、 水 泥 厂 和 矿山 等 附近 。 


(3) 应 避 开 盐 雾 区 ， 如 靠近 海 的 区 域 或 产 盐 区 。 
(4) 应 避 开 落 雷 区 域 。 


2. 地 质 可 靠 性 


(1) 不 要 建 在 杂 填 土 、 淤 泥 、 流 砂 层 以 及 地 层 断 裂 的 地 质 区 域 上 。 


(2) 建 在 山 


区 的 计算 机 房 ， 应 避 开 滑坡 、 泥 石 流 、 雪 前 和 溶洞 等 地 质 不 牢靠 的 区 域 。 


(3) 建 在 矿区 的 计算 机 房 ， 应 避 开 采矿 崩落 区 地 段 ， 也 应 避 开 有 开采 价值 的 矿区 。 
(4) 应 避 开 低洼 、 潮 湿 区 域 。 


3. 场地 抗 电磁 干扰 性 


(1) 应 避 开 


或 远离 无 线 电 干扰 源 和 微波 线路 的 强 电 磁场 干扰 场所 ， 如 广播 电视 发 射 台 、 雷 达 


站 。 根 据 《 计 算 机 场地 通用 规范 (GB/T 2887 一 2011) 》， 机 房 内 无 线 电 干扰 场 强 ， 在 频率 范围 
0.15MHz 一 1000MHz 时 不 大 于 126dBkV, 磁场 干扰 场 强 不 大 于 800A/m( 相 当 于 高 斯 单位 制 的 100e)。 
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(2) 应 避 开 强 电流 冲击 和 强 电磁 干扰 的 场所 ， 如 距离 电气 化 铁路 、 高 压 传输 线 、 高 频 炉 、 
大 电机 、 大 功率 开关 等 设备 200m 以 上 。 


4. 应 避 开 强 振动 源 和 强 噪声 源 


(1) 应 避 开 振动 源 ， 如 冲床 、 锻 床 、 爆 炸 成 形 的 场所 。 
(2) 应 避 开 机 场 、 火 车 站 和 车 辆 往来 比较 频繁 的 区 域 以 及 建筑 工地 、 影 剧院 及 其 他 噪声 区 。 
(3) 应 远离 主要 通道 ， 并 避免 机 房 窗户 直接 临街 。 


S. 应 避免 设 在 建筑 物 的 高 层 以 及 用 水 设备 的 下 层 或 隔壁 


计算 机 机 房 应 选用 专用 的 建筑 物 。 如 果 机 房 是 大 楼 的 一 部 分 ， 应 选用 二 层 为 宜 ， 一 层 作为 
动力 、 配 电 、 空 调 间 等 。 同 时 ， 应 尽量 选择 电力 、 水 源 充足 ， 环 境 清洁 ， 交 通 和 通信 方便 的 地 
方 。 此 外 ， 在 进行 机 房 场地 的 选择 时 ， 还 要 同时 考虑 计算 机 的 功能 与 要 求 。 对 于 机 要 部 门 信息 
系统 的 机 房 ， 还 应 考虑 机 房 中 的 信息 射频 不 易 泄漏 和 被 窃取 。 

在 机 房 场地 的 选择 中 ， 如 果 不 能 避 开 上 述 不 利 因素 ， 则 应 采取 相应 的 防护 措施 。 


5.3.4 数据 中 心 建设 与 设计 要 求 


数据 中 心 通 常 是 指 为 实现 对 数据 信息 的 集中 处 理 、 存 储 、 传 输 、 交 换 、 管 理 以 及 为 相关 电子 
信息 设备 运行 提供 运行 环境 的 建筑 场所 。 数据 中 心 一 般 承载 着 大 量 的 计算 机 设备 、 服 务 器 设备 、 网 
络 设备 、 通 信 设 备 、 存 储 设备 等 网 络 信息 系统 的 关键 设备 。 数 据 中 心 的 物理 安全 对 于 网 络 信息 系统 
至 关 重 要 。 为 更 好 地 指导 数据 中 心 的 建设 和 发 展 ， 工 业 和 信息 化 部 发 布 了 《关于 数据 中 心 建设 布局 
的 指导 意见 》。 其 中 ， 数 据 中 心 建设 和 布局 的 基本 原则 ， 有 具体 包括 市 场 需求 导向 原则 、 资 源 环境 优 
先 原则 、 区 域 统筹 协调 原则 、 多 方 要 素 兼 顾 原则 、 发 展 与 安全 并 重 原则 。 按 照 规模 大 小 可 将 数据 中 
心 分 为 三 类 : 超大 型 数据 中 心 、 大 型 数据 中 心 、 中 小 型 数据 中 心 。 超 大 型 数据 中 心 是 指 规模 大 于 等 
于 10 000 个 标准 机 架 的 数据 中 心 ; 大 型 数据 中 心 是 指 规模 大 于 等 于 3000 个 标准 机 架 小 于 10 000 个 
标准 机 架 的 数据 中 心 : 中 小 型 数据 中 心 是 指 规模 小 于 3000 个 标准 机 架 的 数据 中 心 。 超 大 型 数据 中 
心 的 建设 导向 为 重点 考虑 气候 环境 、 能 源 供给 等 要 素 , 特别 是 以 灾 备 等 事实 性 要 求 不 高 的 应 用 为 主 ， 
优先 在 气候 寒冷 、 能 源 充足 的 一 类 地 区 建设 ， 也 可 在 气候 适宜 ， 能 源 充足 的 二 类 地 区 建设 。 大 型 数 
据 中 心 的 建设 导向 为 重点 考虑 气候 环境 、 能 源 供给 等 要 素 ， 鼓 励 优先 在 一 类 和 二 类 地 区 建设 , 也 可 
在 气候 适宜 、 靠 近 能 源 富 集 地 区 的 三 类 地 区 建设 .中 小 型 数据 中 心 的 建设 导向 为 重点 考虑 市 场 需求 、 
能 源 供给 等 要 素 ， 鼓 励 中 小 型 数据 中 心 ， 特 别 是 面向 当地 、 以 实时 应 用 为 主 的 中 小 型 数据 中 心 , 在 
靠近 用 户 所 在 地 、 能 源 获取 便利 的 地 区 建设 ， 依 市 场 需求 灵活 部 署 。 

《数据 中 心 设计 规范 (GB 50174 一 2017) 》( 以 下 简称 《设计 规范 》) 为 国家 标准 ， 自 2018 
年 1 月 1 日 起 实施 。 本 《设计 规范 》 共 有 13 章 和 1 个 附录 ， 主 要 技术 内 容 有 : 总 则 、 术 语 和 
符号 、 分 级 与 性 能 要 求 、 选 址 及 设备 布置 、 环 境 要 求 、 建 筑 与 结构 、 空 气 调节 、 电 气 、 电 磁 屏 
蔽 、 网 络 与 布线 系统 、 智 能 化 系统 、 给 水 排水 、 消 防 与 安全 。 其 中 ,第 8.4.4、13.2.1、13.2.4、 
13.3.1、13.4.1 条 为 强制 性 条 文 ， 必 须 严格 执行 。 强 制 性 条 文 内 容 如 下 : 
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。 8.44 数据 中 心 内 所 有 设备 的 金属 外 壳 、 各 类 人 金属 管道 、 金 属 线 槽 、 建 筑 物 金属 结构 
必须 进行 等 电位 联结 并 接地 ; 

。 13.2.1 数据 中 心 的 耐火 等 级 不 应 低 于 二 级 ; 

。 13.2.4 当 数 据 中 心 与 其 他 功能 用 房 在 同一 个 建筑 内 时 ， 数 据 中 心 与 建筑 内 其 他 功能 用 
房 之 间 应 采用 耐火 极限 不 低 于 2.0h 的 防火 隔 墙 和 1.5h 的 楼 板 隔 开 ， 隔 墙 上 开门 应 采 
用 甲 级 防火 门 ; 

。 ”13.3.1 采用 管 网 式 气 体 灭 火 系 统 或 细 水 筋 灭火 系统 的 主机 房 ， 应 同时 设置 两 组 独立 的 
火灾 探测 器 ， 火 灾 报 警 系统 应 与 灭火 系统 和 视频 监控 系统 联动 ; 

。 13.4.1 设置 气体 灭火 系统 的 主机 房 ， 应 配置 专用 空气 呼吸 器 或 氧气 呼吸 器 。 

《设计 规范 》 中 要 求 数据 中 心 应 划分 为 A、B、C 三 级 ， 设 计时 应 根据 数据 中 心 的 使 用 性 质 、 数 

据 丢失 或 网 络 中 断 在 经 济 或 社会 上 造成 的 损失 或 影响 程度 确定 所 属 级 别 。 各 级 划分 条 件 如 表 5-2 所 示 。 


表 5-2 数据 中 心 级 别 划分 条 件 


数据 中 心 级 别 备 注 
符合 下 列 情况 之 一 ， 
A 级 (1) 电子 信息 系统 运行 中 断 将 造成 重大 的 经 济 损 失 
(2) 电子 信息 系统 运行 中 断 将 造成 公共 场所 秩序 严重 混乱 
符合 下 列 情况 之 一 ， 
了 级 (1) 电子 信息 系统 运行 中 断 将 造成 较 大 的 经 济 损失 


(2) 电子 信息 系统 运行 中 断 将 造成 公共 场所 秩序 混乱 
C 级 不 属于 A 级 或 B 级 的 数据 中 心 


5.3.5 “互联 网 数据 中 心 


互联 网 数据 中 心 〈 简 称 IDC) 是 一 类 向 用 户 提供 资源 出 租 基 本 业务 和 有 关 附 加 业务 、 在 线 
提供 IT 应 用 平台 能 力 租用 服务 和 应 用 软件 租用 服务 的 数据 中 心 。 用 户 通 过 使 用 互联 网 数据 中 心 
的 业务 和 服务 ， 实 现 用 户 自身 对 外 的 互联 网 业务 和 服务 。 

IDC 一 般 由 机 房 基 础 设施 、 网 络 系统 、 资 源 系 统 、 业 务 系统 、 管 理 系 统 和 安全 系统 六 大 多 
辑 功 能 部 分 组 成 ， 如 图 5-4 所 示 。 


i 业务 系统 二 

安全 系统 | (基本 业务 、 附 加 业务 、 平 台 服务 、 应 用 服务 等 ) | 管理 系统 
去 全 后 施 资源 系统 网 络 管理 
安全 措施 | | | (计算 、 存 侍 、 网 络 等 资源 池 ) = 
少 公 绸 页 信 \ 
安全 入 理 | 网 络 系统 | | se 
和 全 (网 络 互联 、 核 心 网 络 、 汇 聚 网 络 等 ) 管理 


(机 房 建筑 、 供 电 、 空 调 、 布 线 、 消 防 、 


| 机 房 基础 设施 | 运营 管理 
安防 、 动 力 环境 监控 、 能 源 管理 等 ) 


图 5-4 互联 网 数据 中 心 (IDC) 逻辑 组 成 示意 图 
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《互联 网 数据 中 心 工程 技术 规范 (GB 51195 一 2016) 》 规 定 IDC 机 房 分 成 Rl、R2、R3 三 
个 级 别 。 其 中 ， 各 级 IDC 机 房 要 求 如 下 : 
。 Rl 级 IDC 机房 的 机 房 基 础 设施 和 网 络 系统 的 主要 部 分 应 具备 一 定 的 宛 余 能 力 , 机 房 
基础 设施 和 网 络 系统 可 支撑 的 IDC 业务 的 可 用 性 不 应 小 于 99.5%; 
。 R2 级 IDC 机 房 的 机 房 基础 设施 和 网 络 系统 应 具备 元 余 能 力 , 机 房 基础 设施 和 网 络 系 
统 可 支撑 的 IDC 业务 的 可 用 性 不 应 小 于 99.9%; 
。 R3 级 IDC 机 房 的 机 房 基础 设施 和 网 络 系统 应 具备 容错 能 力 , 机 房 基础 设施 和 网 络 系 
统 可 支撑 的 IDC 业务 的 可 用 性 不 应 小 于 99.99%。 
《互联 网 数据 中 心 工程 技术 规范 (GB 51195 一 2016) 》 自 2017 年 4 月 1 日 起 实施 。 其 中 ， 
第 1.0.4、4.2.2 条 为 强制 性 条 文 ， 必 须 严 格 执行 。 强 制 性 条 文 内 容 具 体 如 下 
。 1.0.4 在 我 国 抗震 设防 烈度 7 度 以 上 ( 含 7 度 ) 地 区 IDC 工程 中 使 用 的 主要 电信 设备 
必须 经 电信 设备 抗震 性 能 检测 合格 。 
。 4.2.2 施工 开始 以 前 必须 对 机 房 的 安全 条 件 进 行 全 面 检查 ， 应 符合 下 列 规定 。 
@ 机 房 内 必须 配备 有 效 的 灭火 消防 器 材 , 机 房 基础 设施 中 的 消防 系统 工程 应 
施工 完毕 ， 并 应 具备 保持 性 能 良好 ， 满 足 IT 设备 系统 安装 、 调 测 施 工 要 
求 的 使 用 条 件 。 
@ 楼 板 预 留 孔洞 应 配置 非 燃烧 材料 的 安全 盖 板 ， 己 用 的 电线 走 线 孔 洞 应 用 非 燃 
烧 材料 封 堵 。 
图 机 房 内 严禁 存放 易 燃 、 易 爆 等 危险 物品 。 
@ 机 房 内 不 同 电 压 的 电源 设备 、 电 源 插座 应 有 明显 区 别 标 志 。 


5.3.6 ”CA 机 房 物 理 安全 控制 


CA 机 房 物理 安全 是 认证 机 构 设 施 安全 的 重要 保障 ， 国 家 密码 管理 局 发 布 《 电 子 政务 电子 
认证 服务 业务 规则 规范 》， 对 CA 机 房 的 物理 安全 提出 了 规范 性 要 求 。 

(1) 物理 环境 按照 GM/T 0034 的 要 求 严格 实施 ， 具 有 相关 屏蔽 、 消 防 、 物 理 访问 控制 、 入 
侵 检 测报 警 等 相关 措施 ， 至 少 每 五 年 进行 一 次 屏蔽 室 检测 。 

(2) CA 机 房 及 办 公 场 地 所 有 人 员 都 应 佩戴 标识 身份 的 证 明 。 进 出 CA 机 房 人 员 的 物理 权 
限 应 经 安全 管理 人 员 根 据 安全 策略 予以 批准 。 

(3) 所 有 进出 CA 机 房 内 的 人 员 都 应 留 有 记录 ， 并 妥善 、 安 全 地 保存 和 管理 各 区 域 进 
出 记录 (如 监控 系统 录像 带 、 门 禁 记录 等 ) 。 确 认 这 些 记 录 无 安全 用 途 后 ， 才 可 进行 专项 
销毁 。 

(4) 建立 并 执行 人 员 访问 制度 及 程序 ， 并 对 访问 人 员 进 行 监督 和 监控 。 安 全 人 员 定 期 对 
CA 设施 的 访问 权限 进行 内 审 和 更 新 ， 并 及 时 跟 进 违规 进出 CA 设施 物理 区 域 的 事件 。 
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(5) 采取 有 效 措施 保护 设备 免 于 电源 故障 或 网 络 通信 和 异常 影响 。 

(6) 在 处 理 或 再 利用 包含 存储 介质 〈 如 硬盘 ) 的 设备 之 前 ， 检 查 是 否 含有 敏感 数据 ， 并 对 
敏感 数据 应 物理 销毁 或 进行 安全 覆盖 。 

(7) 制定 相关 安全 检查 、 监 督 策略 , 包括 且 不 限于 对 内 部 敏感 或 关键 业务 信息 的 保存 要 求 、 
办 公 电 脑 的 保护 要 求 、CA 财产 的 保护 要 求 等 。 


5.4 网络 通信 线路 安全 分 析 与 防护 

网 络 通信 线路 是 网 络 信息 的 传输 通道 。 本 节 首先 对 网 络 通信 线路 安全 进行 分 析 ， 然 后 给 出 
网 络 通信 线路 防护 措施 。 
5.4.1 网 络 通信 线路 安全 分 析 


网 络 通信 线路 连接 着 网 络 系统 中 的 各 节点 ， 是 网 络 信息 和 数据 交换 的 基础 。 网 络 通信 线路 
常见 的 物理 安全 威胁 主要 如 下 。 


1. 网 络 通 信 线 路 被 切断 

网 络 通信 线路 被 鼠 虫 咬 断 、 被 人 为 割断 、 自 然 灾害 损坏 等 。 

2. 网 络 通信 线路 被 电磁 干扰 

网 络 通信 线路 受到 电磁 干扰 而 非 正 常 传输 信息 。 

3. 网 络 通信 线路 泄露 信息 

网 络 通信 线路 泄漏 电磁 信号 ， 导 致 通信 线路 上 的 传输 信息 泄密 。 
5.4.2 ”网 络 通 信 线 路 安全 防护 

网 络 通信 线路 的 安全 直接 影响 网 络 系统 的 正常 运行 。 目 前 ,为 了 实现 网 络 通信 安全 ， 一 般 
从 两 个 方面 采取 安全 措施 ， 一 是 网 络 通信 设备 ， 二 是 网 络 通信 线路 。 对 重要 的 核心 网 络 设备 ， 
例如 路 由 器 、 交 换 机 ， 为 了 防止 这 些 核心 设备 出 现 单 点 安全 故障 ， 一 般 采 取 设 备 宛 余 ， 即 设备 
之 间 互 为 备份 。 而 网 络 通信 线路 的 安全 措施 也 是 采取 多 路 通信 的 方式 ， 例 如 网 络 的 连接 可 以 通 
过 DDN 专线 和 电话 线 。 下 面 给 出 某 ISP 的 网 络 拓扑 结构 图 ， 如 图 5-5 所 示 。 由 图 可 知 ， 该 ISP 


在 网 络 通信 上 采取 了 宛 余 解 决 办 法 ， 首 先是 核心 的 交换 机 器 和 路 由 器 都 实现 交叉 互 连 ， 其次， 
ISP 与 外 部 网 络 的 连接 有 两 个 出 口 。 
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FP ~ 
写 联 网 服务 (Ri 
提供 商 


拨号 访问 服务 网 络 运行 中 心 专线 访问 
图 5-5 某 ISP 网 络 拓扑 结构 图 


5.5 设备 实体 安全 分 析 与 防护 


设备 是 网 络 信息 系统 的 物理 实体 保护 对 象 。 本 节 首先 对 设备 实体 安全 进行 分 析 ， 然 后 给 出 
设备 实体 安全 防护 措施 。 


5.5.1 设备 实体 安全 分 析 


设备 是 一 个 网 络 信息 系统 的 计算 、 通 信 控 制 、 数 据 存储 的 平台 ， 其 物理 安全 至 关 重 要 。 设 
备 常见 的 物理 安全 威胁 主要 如 下 。 


1. 设备 实体 环境 关联 安全 威胁 


设备 实体 环境 关联 安全 威胁 是 指 设备 实体 环境 受到 物理 安全 脆弱 性 影响 而 引发 的 设备 安 
全 问题 ， 例 如 机 房 空调 的 运行 不 良 ， 导 致 设备 的 温度 过 高 引发 设备 故障 。 


2. 设备 实体 被 盗 取 或 损害 

设备 实体 缺乏 有 效 的 监督 管理 和 访问 控制 ， 被 外 部 人 员 窃取 、 错 误 搬 动 等 。 
3. 设备 实体 受到 电磁 干扰 

设备 实体 受到 电磁 干扰 ， 设 备 无 法 正常 运行 。 
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4. 设备 供应 链条 中 断 或 延缓 
设备 实体 的 部 分 部 件 供应 链 出 现 问 题 ， 故 障 无 法 修补 。 
5. 设备 实体 的 固件 部 分 遭受 攻击 


设备 实体 的 固件 部 分 存在 安全 漏洞 ， 使 得 攻击 者 可 以 随意 修改 固件 ， 导 致 设备 实体 无 法 正 
常 工作 。 例 如 ， 计 算 机 的 BIOS 被 破坏 ， 智 能 硬件 操作 系统 的 安全 漏洞 被 非法 利用 导致 智能 硬 
件 停止 工作 。 


6. 设备 遭受 硬件 攻击 


设备 实体 组 成 的 电子 部 件 受到 硬件 木马 攻击 ， 或 者 设备 的 CPU 存在 安全 漏洞 ， 导 致 设备 
实体 受到 损害 。 


7. 设备 实体 的 控制 组 件 安全 威胁 


设备 实体 的 控制 组 件 存在 安全 漏洞 ， 被 攻击 者 利用 导致 设备 实体 无 法 正常 运行 。 例 如 ， 存 
储 设备 的 存储 控制 软件 。 


8. 设备 非法 外 联 

设备 的 使 用 人 员 非 安全 使 用 ， 将 其 接 入 非 安 全 区 域 ， 如 涉 密 设备 接 到 互联 网 。 
5.5.2 设备 实体 安全 防护 

按照 国家 标准 GB/T 21052 一 2007， 设 备 实体 的 物理 安全 防护 技术 措施 主要 如 下 。 

1. 设备 的 标志 和 标记 


设备 的 标志 和 标记 主要 包括 : 产品 名 称 、 型 号 或 规定 的 代号 ， 制 造 厂商 的 名 称 或 商标 、 安 
全 符号 ， 或 国家 规定 的 3C 认证 标志 。 


2. 设备 电磁 辐射 防护 


电磁 辐射 防护 主要 有 电磁 辐射 骚扰、 电磁 辐射 抗 扰 、 电 源 端 口 电 磁 传导 骚扰 、 信 号 端口 电 
磁 传 导 骚 扰 、 电 源 端口 电磁 传导 抗 扰 、 信 和 号 端口 电磁 传导 抗 扰 。 


3. 设备 静电 及 用 电 安全 防护 


静电 及 用 电 安 全 防护 主要 涉及 静电 放电 抗 扰 、 电 源 线 浪 涌 ( 冲 击 〉 抗 扰 、 信 号 线 浪 涌 ( 冲 
击 ) 抗 扰 、 电 源 端 口 电 快速 瞬 变 脉 冲 群 抗 扰 、 信 号 端口 电 快速 瞬 变 脉冲 群 抗 扰 、 电 压 暂 降 抗 扰 、 
电压 短 时 中 断 抗 扰 、 抗 电 强度 、 泄 漏电 流 、 电 源 线 、 电 源 适 应 能 力 和 绝缘 电阻 。 
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4. 设备 磁场 抗 扰 

磁场 抗 扰 主 要 包括 工 频 磁场 抗 扰 、 脉 冲 磁场 抗 扰 。 
5. 设备 环境 安全 保护 

环境 安全 保护 主要 包括 防 过 热 、 阻 燃 、 防 爆裂 。 
6. 设备 适应 性 与 可 靠 性 保护 


适应 性 与 可 靠 性 保护 主要 包括 温度 适应 性 、 湿 度 适应 性 、 冲 击 适应 性 、 碰 撞 适 应 性 、 可 
靠 性 。 

由 于 网 络 信息 系统 的 设备 供应 链条 的 复杂 性 ， 设 备 保护 还 需要 采取 以 下 增强 性 保护 措施 。 

(1) 设备 供应 链 弹 性 。 设 备 供应 商 来 源 可 靠 ， 有 可 以 替换 的 设备 产品 ， 避 免 设 备 供应 中 断 
而 无 法 替换 ， 符 合 《中 华人 民 共 和 国 网 络 安全 法 》 规 定 。 

(2) 设备 安全 质量 保障 。 与 设备 供应 商 签署 产品 安全 质量 保障 ， 防 止 设备 相关 存在 硬件 木 
马 和 硬件 安全 漏洞 。 智 能 设备 还 要 确保 嵌入 的 软件 是 安全 可 信 的 。 

(3) 设备 安全 合 规 。 符 合 《中 华人 民 共和 国 网 络 安全 法 》 的 相关 规定 ， 第 二 十 三 条 要 求 网 
络 关键 设备 和 网 络 安全 专用 产品 应 当 按 照相 关 国家 标准 的 强制 性 要 求 ， 由 具备 资格 的 机 构 安全 
认证 合格 或 者 安全 检测 符合 要 求 后 ， 方 可 销售 或 者 提供 。 

第 三 十 五 条 要 求 关键 信息 基础 设施 的 运营 者 采购 网 络 产品 和 服务 ， 可 能 影响 国家 安全 的 
应 当 通 过 国家 网 信 部 门 会 同 国务 院 有 关 部 门 组 织 的 国家 安全 审查 。 第 三 十 六 条 要 求 关键 信息 基 
础 设施 的 运营 者 采购 网 络 产品 和 服务 ， 应 当 按照 规定 与 提供 者 签订 安全 保密 协议 ， 明 确 安全 和 
保密 义务 与 责任 。 

(4) 设备 安全 审查 。《 网 络 产品 和 服务 安全 审查 办 法 〈 试 行 ) 》 规 定 ， 公 共通 信和 信息 服 
务 、 能 源 、 交 通 、 水 利 、 金 融 、 公 共 服 务 、 电 子 政务 等 重要 行业 和 领域 ， 以 及 其 他 关键 信息 基 
础 设施 的 运营 者 采购 网 络 产品 和 服务 ， 可 能 影响 国家 安全 的 ， 应 当 通过 网 络 安全 审查 。 网 络 安 
全 审查 重点 审查 网 络 产品 和 服务 的 安全 性 、 可 控 性 ， 主 要 包括 : 

。 ”产品 和 服务 自身 的 安全 风险 ， 以 及 被 非法 控制 、 干 扰 和 中 断 运行 的 风险 ; 

。 ”产品 及 关键 部 件 生产 、 测 试 、 交 付 、 技 术 支 持 过 程 中 的 供应 链 安全 风险 ; 

。 ”产品 和 服务 提供 者 利用 提供 产品 和 服务 的 便利 条 件 非法 收集 、 存 储 、 处 理 、 使 用 用 户 

相关 信息 的 风险 ; 

。 ”产品 和 服务 提供 者 利用 用 户 对 产品 和 服务 的 依赖 ， 损 害 网 络 安全 和 用 户 利益 的 风险 ; 

。 ”其 他 可 能 危害 国家 安全 的 风险 。 


5.5.3 ”设备 硬件 攻击 防护 
针对 潜在 的 硬件 攻击 ， 主 要 的 安全 措施 如 下 。 
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1. 硬件 木马 检测 


硬件 木马 检测 方法 有 反 向 分 析 法 、 功 耗 分 析 法 、 侧 信道 分 析 法 。 其 中 ， 反 向 分 析 法 是 通过 
逆向 工程 方法 将 封装 《或 管 芯 ) 的 芯片 电路 打开 ， 逐 层 扫 描 拍照 电路 ， 然 后 使 用 图 形 分 析 软 件 
和 电路 提取 软件 重建 电路 结构 图 , 将 恢复 出 的 设计 与 原始 设计 进行 对 比分 析 , 以 检测 硬件 木马 。 
功 耗 分 析 法 通过 获取 芯片 的 功 耗 特 征 , 通过 KL 扩展 分 析 法 生成 芯片 指纹 , 再 将 待 测 芯片 与 “ 纯 
净 蕊 片 ”的 功 耗 特征 进行 比 对 ， 以 判断 芯片 是 否 被 算 改 。 侧 信道 分 析 法 是 通过 比 对 电路 中 的 物 
理 特 性 和 旁 路 信息 的 不 同 ， 发 现 电路 的 变化 ， 其 技术 原理 是 任何 硬件 电路 的 改变 都 会 反映 在 一 
些 电路 参数 上 ， 如 功率 、 时 序 、 电 磁 、 热 等 ， 其 流程 如 图 5-6 所 示 。 


获取 目标 电路 的 指令 集 功 耗 数 据 


ET 并 计算 预 处 理 后 的 指令 集 
功 耗 数据 的 中 位 数 


蕊 


判断 预 处 理 
的 指令 集 功 耗 数据 的 中 位 数 是 否 大 于 预 设 无 本 
马 电路 功 耗 


已 
下 


y 
将 预 处 理 后 的 指令 集 功 耗 数据 输入 线性 SVM 训 练 上 边界 
模型 中 进行 处 理 ， 得 到 目标 电路 的 硬件 木马 检测 结果 


将 预 处 理 后 的 指令 集 功 耗 数据 输入 线性 SVM 训练 下 边界 
模型 中 进行 处 理 ， 得 到 目标 电路 的 硬件 木马 检测 结果 


图 5-6 侧 信道 分 析 法 流程 示意 图 


2. 硬件 漏洞 处 理 
硬件 漏洞 不 同 于 软件 漏洞 ， 其 修补 具有 不 可 逆 性 。 通 常 方法 是 破坏 漏洞 利用 条 件 ， 防 止 漏 
洞 被 攻击 者 利用 。 


5.6 ”存储 介质 安全 分 析 与 防护 


存储 介质 是 网 络 信息 的 载体 。 本 节 首先 对 存储 介质 安全 进行 分 析 ， 然 后 给 出 存储 介质 安全 
防护 措施 。 
5.6.1 存储 介质 安全 分 析 


存储 介质 的 安全 是 网 络 安全 管理 的 重要 环节 ， 损 坏 或 非法 访问 存储 介质 将 造成 系统 无 法 启 
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动 、 信 息 泄密 、 数 据 受 损害 等 安全 事故 。 特 别 是 随 着 云 计算 和 大 数据 技术 的 应 用 ， 存 储 介质 及 
存储 设备 系统 成 为 数据 资源 的 重要 载体 。 存 储 介质 及 存储 设备 系统 主要 的 安全 威胁 有 以 下 几 个 
方面 。 


1. 存储 管理 失控 


缺少 必要 的 存储 管理 制度 、 流 程 和 技术 管理 措施 ， 使 得 存储 介质 及 存储 设备 缺少 安全 保养 
和 维护 ， 相 关 存储 介质 被 随意 保管 、 拷 贝 等 。 


2. 存储 数据 泄密 


离线 的 存储 介质 缺少 安全 保护 措施 ， 容 易 被 非 授权 拷贝 、 查 看 ， 从 而 导致 存储 数据 泄密 。 

3. 存储 介质 及 存储 设备 故障 

存储 介质 缺少 安全 保障 技术 ， 不 能 防止 存储 操作 容错 。 或 者 存储 介质 与 存储 设备 控制 系统 
缺少 配合 ， 导 致 存储 设备 操作 无 法 正常 运行 。 

4. 存储 介质 数据 非 安全 删除 

存储 介质 数据 没有 采取 安全 删除 技术 ， 使 得 攻击 者 利用 数据 恢复 工具 ， 还 原 存储 介质 上 的 
数据 。 

5. 恶意 代码 攻击 

存储 介质 或 存储 设备 被 恶意 代码 攻击 ， 如 勒索 病毒 ， 使 得 相关 存储 操作 无 法 进行 。 
5.6.2 存储 介质 安全 防护 

一 般 来 说 ， 常 用 的 存储 介质 安全 防护 措施 有 以 下 几 种 。 

1. 强化 存储 安全 管理 


强化 存储 安全 管理 的 措施 包括 如 下 几 个 方面 

。 ” 设 有 专门 区 域 用 于 存放 介质 ， 并 有 专人 负责 保管 维护 ; 

。 ”有 关 介 质 借 用 ， 必 须 办 理 审 批 和 登记 手续 ; 

。 ”介质 分 类 存放 ， 重 要 数据 应 进行 复制 备份 两 份 以 上 ， 分 开 备 份 ， 以 备 不 时 之 需 

。 ”对 敏感 数据 、 重 要 数据 和 关键 数据 ， 应 采取 贴 密封 条 或 其 他 的 安全 有 效 措施 ， 防 止 被 
非法 拷贝 ; 

。 ”报废 的 光盘 、 磁 盘 、 磁 带 、 硬 盘 、 移 动 盘 必 须 按 规定 程序 完全 消除 敏感 数据 信息 。 
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2. 数据 存储 加 密 保存 


系统 中 有 很 高 使 用 价值 或 很 高 机 密 程 度 的 重要 数据 ， 应 采用 加 密 存 储 。 目 前 ，Windows 操 
作 系 统 都 支持 加 密 文件 系统 。 


3. 容错 容 灾 存储 技术 


对 于 重要 的 系统 及 数据 资源 ， 采 取 磁 盘 阵 列 、 双 机 在 线 备份 、 离 线 备份 等 综合 安全 措施 ， 
保护 存储 数据 及 相关 系统 的 正常 运行 。 如 图 5-7 所 示 是 某 行 业 系统 推荐 的 网 络 基础 设施 平台 硬 
件 系统 高 级 配置 安全 解决 方案 。 其 中 ， 存 储 安 全 采取 了 离线 备份 、 磁 盘 阵 列 等 相关 技术 。 


起 旭 
主机 [人 机 2 Web 服 务 器 。 应 用 服务 器 


离线 备份 
磁盘 阵列 


图 5-7 ”网络 基础 设施 平台 硬件 系统 高 级 配置 安全 解决 方案 示意 图 
5.7 ”本 章 小 结 
物理 安全 是 网 络 系统 安全 、 可 靠 、 不 间断 运行 的 基础 。 本 章 首先 引入 物理 安全 的 概念 和 物 


理 安全 的 标准 规范 ; 然后 围绕 物理 安全 的 需求 ， 分 别 介绍 了 网 络 物理 安全 常见 方法 、 机 房 安 全 、 
网 络 通信 线路 安全 、 存 储 介质 安全 等 。 
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6.1 认证 概述 

认证 机 制 是 网 络 安全 的 基础 性 保护 措施 ， 是 实施 访问 控制 的 前 提 。 以 下 将 阐述 认证 的 基本 
概念 、 认 证 依据 、 认 证 原理 和 认证 发 展 。 
6.1.1 认证 概念 

认证 是 一 个 实体 向 另外 一 个 实体 证 明 其 所 声称 的 身份 的 过 程 。 在 认证 过 程 中 ， 需 要 被 证 实 
的 实体 是 声称 者 ， 负 责 检 查 确认 声称 者 的 实体 是 验证 者 。 通 常情 况 下 ， 双 方 要 按照 一 定 规则 
声称 者 传递 可 区 分 其 身份 的 证 据 给 验证 者 ， 验 证 者 根据 所 接收 到 的 声称 者 的 证 据 进行 判断 ， 证 


实 声称 者 的 身份 。 如 图 6-1 所 示 ， 实 体 A〈 声 称 者 ) 向 实体 B〈 验 证 者 ) 告知 其 口令 I@702019， 
实体 B 验证 实体 A 出 具 的 口令 。 若 口令 正确 ， 则 实体 B 确认 实体 A 参与 其 活动 。 


口令 是 I@70201 9 验 
实体 A [| 六。 实体 B 
验证 通过 OK 认 


图 6-1 认证 示意 图 


认证 一 般 由 标识 (Identification) 和 鉴别 (Authentication) 两 部 分 组 成 。 标 识 是 用 来 代表 实 
体 对 象 (如 人 员 、 设 备 、 数 据 、 服 务 、 应 用 ) 的 身份 标志 ， 确 保 实体 的 唯一 性 和 可 辨识 性 ， 同 
时 与 实体 存在 强 关 联 。 标 识 一 般 用 名 称 和 标识 符 (ID) 来 表示 。 通 过 唯一 标识 符 ， 可 以 代表 实 
体 。 例如， 网 络 管理 人 员 常 用 下 地址 、 网 卡 地 址 作为 计算 机 设备 的 标识 。 操 作 系 统 以 符号 串 作 
为 用 户 的 标识 ， 如 root、guest 等 。 

鉴别 一 般 是 利用 口令 、 电 子 签名 、 数 字 证 书 、 令 牌 、 生 物 特征 、 行 为 表现 等 相关 数字 化 凭 
证 对 实体 所 声称 的 属性 进行 识别 验证 的 过 程 。 鉴 别 的 凭据 主要 有 所 知道 的 秘密 信息 、 所 拥有 的 
凭证 、 所 具有 的 个 体 特征 以 及 所 表现 的 行为 。 


6.1.2 ”认证 依据 


认证 依据 也 称 为 鉴别 信息 ,通常 是 指 用 于 确认 实体 (声称 者 ) 身份 的 真实 性 或 者 其 拥有 的 
属性 的 赁 证。 目前， 常见 的 认证 依据 主要 有 四 类 。 
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1. 所 知道 的 秘密 信息 (Something You Know) 

实体 〈 声 称 者 ) 所 掌握 的 秘密 信息 ， 如 用 户口 令 、 验 证 码 等 。 

2. 所 拥有 的 实物 凭证 (Something You Have) 

实体 〈 声 称 者 ) 所 持 有 的 不 可 伪造 的 物理 设备 ， 如 智能 卡 、U 盾 等 。 

3. 所 具有 的 生物 特征 

实体 (声称 者 ) 所 具有 的 生物 特征 ， 如 指纹 、 声 音 、 虹 膜 、 人 脸 等 。 

4. 所 表现 的 行为 特征 

实体 声称 者 ) 所 表现 的 行为 特征 ， 如 鼠标 使 用 习惯 、 键 盘 敲 键 力度 、 地 理 位 置 等 。 
6.1.3 ”认证 原理 


一 般 来 说 ， 认 证 机 制 由 验证 对 象 、 认 证 协议 、 鉴 别 实体 构成 ， 如 图 6-2 所 示 。 其 中 ， 验 证 对 
象 是 需要 鉴别 的 实体 (声称 者 ) ; 认证 协议 是 验证 对 象 和 鉴别 实体 (验证 者 ) 之 间 进 行 认 证 信息 
交换 所 遵从 的 规则 ;， 鉴 别 实体 根据 验证 对 象 所 提供 的 认证 依据 ， 给 出 身份 的 真实 性 或 属性 判断 。 
协议 消息 


A B 
(声称 者 ) [| (验证 者 ) 
协议 消息 


6-2 ”认证 机 制 原理 图 


按照 对 验证 对 象 要 求 提供 的 认证 凭据 的 类 型 数量 , 认证 可 以 分 成 单 因 素 认证 、 双 因素 认证 、 
多 因素 认证 。 多 个 因素 认证 有 利于 提升 认证 的 安全 强度 。 

根据 认证 依据 所 利用 的 时 间 长 度 ， 认 证 可 分 成 一 次 性 口令 (One Time Password) 、 持 续 认 
证 (Continuous authentication) 。 其 中 ， 一 次 性 口令 简称 OTP， 用 于 保护 口令 安全 ， 防 止 口令 
重用 攻击 。OTP 常见 的 认证 实例 如 使 用 短 消 息 验 证 码 。 持 续 认 证 是 指 连 续 提供 身份 确认 ， 其 技 
术 原 理 是 对 用 户 整个 会 话 过 程 中 的 特征 行为 进行 连续 地 监测 ， 不 间断 地 验证 用 户 所 具有 的 特 
性 。 持续 认 证 是 一 种 新 兴 的 认证 方法 , 其 标志 是 将 对 事件 的 身份 验证 转变 为 对 过 程 的 身份 验证 。 
持续 认证 增强 了 认证 机 制 的 安全 强度 ， 有 利于 防止 身份 假冒 攻击 、 钓 鱼 攻击 、 身 份 窃取 攻击 、 
社会 工程 攻击 、 中 间 人 攻击 。 持 续 认 证 所 使 用 的 鉴定 因素 主要 是 认 知 因素 (Cognitive factors) 、 
物理 因素 (Physiological factors) 、 上 下 文 因素 (Contextual factors) 。 认 知 因素 主要 有 了 眼 手 协 
调 、 应 用 行为 模式 、 使 用 偏好 、 设 备 交互 模式 等 。 物 理 因素 主要 有 左 /右手 、 按 压 大 小 、 手 震 、 
手臂 大 小 和 肌肉 使 用 。 上 下 文 因素 主要 有 事务 、 导 航 、 设 备 和 网 络 模式 。 例 如 ， 一 些 网 站 的 访 
问 根据 地 址 位 置信 息 来 判断 来 访 者 的 身份 ， 以 确认 是 否 授 权 访问 。 
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6.1.4 认证 发 展 


认证 机 制 是 网 络 信息 系统 安全 的 基础 ， 用 于 解决 用 户 身份 识别 、 服 务 平台 真实 性 验证 、 信 
息 及 数据 真实 性 与 完整 性 保障 等 安全 问题 。 随 着 网 络 信息 科技 的 普及 ， 各 种 网 络 应 用 对 用 户 的 
认证 需求 与 日 俱 增 。 目前 国家 电子 认证 服务 有 40 多 家 第 三 方 CA 机 构 , 基本 建立 了 全 国电 子 认 
证 行业 监管 体系 、 电 子 认证 运营 服务 体系 。 国 家 相关 安全 机 构 相 继 制定 了 多 项 电子 认证 相关 技 
术 标 准 ， 推 出 了 多 种 电子 认证 应 用 服务 。 

认证 与 网 络 身份 可 信 紧 密 相关 ， 和 良好 的 认证 机 制 有 利于 解决 网 络 身份 的 可 信和 问题 。 美 国 、 
欧盟 等 国家 和 地 区 都 在 积极 地 推进 国家 网 络 空间 可 信 身份 工作 。 美 国 发 布 了 《网 络 空 间 可 信 身 
份 国家 战略 》 (National Strategy for Trusted Identities in Cyberspace，NSTIC) ， 其 目标 是 构建 
一 个 网 络 空间 可 信 身 份 生态 系统 ， 建 立 和 实现 一 个 身份 交互 操作 的 基础 设施 ， 增 强 参与 生态 系 
统 的 个 人 和 机 构 的 信心 和 意愿 。 欧 盟 提 出 电子 身份 标识 〈eID) 计划 ， 拟 构建 欧盟 eID 基础 设 
施 ， 使 得 欧盟 成 员 国 公民 持 有 电子 标识 。 

网 络 可 信 身 份 保证 了 网 络 身份 与 现实 身份 的 绑 定 关系 ， 有 利于 网 络 行为 不 可 抵赖 ， 有 利于 
防范 身份 盗用 、 网 络 欺诈 、 网 络 攻 击 等 行为 ， 有 利于 网 络 空间 社会 治理 。 国 内 网 络 可 信 身份 的 
建设 工作 也 在 持续 不 断 推进 。 有 关 部 门 提出 了 《关于 建设 统一 的 人 力 资源 社会 保障 网 络 信 任 体 
系 的 指导 意见 》， 用 于 指导 网 络 信任 体系 建设 的 相关 事项 。 国 内 网 络 信 任 体 系 是 以 密码 技术 为 
基础 ， 以 法 律 法 规 、 技 术 标 准 和 基础 设施 为 主要 内 容 ， 以 解决 网 络 应 用 中 身份 认证 、 授 权 管理 
和 责任 认定 等 为 目的 的 完整 体系 。 同 时 ， 与 认证 服务 相关 的 法 律 规 范 也 陆续 发 布 ， 主 要 有 《中 
华人 民 共和 国电 子 签名 法 》( 以 下 简称 “电子 签名 法 ”) 、《 中 华人 民 共 和 国 网 络 安全 法 》( 以 
下 简称 “网 络 安全 法 ”) 、《 商 用 密码 管理 条 例 》、《 电 子 认证 服务 密码 管理 办 法 》、《 电 子 
政务 电子 认证 服务 业务 规则 规范 》 等 。 其 中 ，《 电 子 签名 法 》 确 立 了 电子 签名 人 身份 认证 的 法 
律 地 位 。《 网 络 安全 法 》 中 规定 “国家 实施 网 络 可 信 身 份 战略 ， 支 持 研 究 开发 安全 、 方 便 的 电 
子 身份 认证 技术 ， 推 动 不 同 电子 身份 认证 之 间 的 互 认 ”。 这 些 法 律 和 规范 促进 了 电子 认证 服务 
的 快速 发 展 。 金 融 、 海 关 、 税 务 、 工 商 、 社 保 等 领域 ， 都 已 经 建立 起 数字 证 书 基础 设施 ， 利 用 
数字 证 书 有 效 管理 用 户 和 保障 业务 安全 ， 实 现 了 业务 网 络 化 安全 办 理 ， 提 高 了 工作 效率 ， 方 便 
了 客户 和 老百姓 办 事 。 

与 此 同时 ， 工 业界 出 现 了 一 系列 认证 相关 标准 ， 例 如 OpenID、SAML、OAuth、FIDO 等 
国际 标准 ， 用 于 不 同 的 网 络 身份 认证 系统 之 间 的 互联 互通 ， 以 及 跨 域 进行 访问 授权 。 


6.2 ”认证 类 型 与 认证 过 程 


按照 认证 过 程 中 鉴别 双方 参与 角色 及 所 依赖 的 外 部 条 件 ， 认 证 类 型 可 分 成 单 向 认证 、 双 向 
认证 和 第 三 方 认证 。 
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6.2.1 单 向 认证 

单 向 认证 是 指 在 认证 过 程 中 ， 验 证 者 对 声称 者 进行 单方 面 的 鉴别 ， 而 声称 者 不 需要 识别 验 
证 者 的 身份 。 如 图 6-3 所 示 ， 声 称 者 A 发 送 其 标识 和 身份 证 明 赁 据 给 验证 者 B， 然 后 检查 声称 
者 的 发 送 消息 ， 确 认 声 称 者 A 的 身份 真实 性 。 


A 的 标识 与 其 
身份 证 明 凭据 站 
(声称 者 ) (验证 者 ) 
验证 结果 


图 6-3 单 向 认证 原理 图 
实现 单 向 认证 的 技术 方法 有 两 种 ， 下 面 分 别 阐述 。 
1. 基于 共享 秘密 


设 验 证 者 和 声称 者 共享 一 个 秘密 天 se ，1D， 为 实体 A 的 标识 ， 则 认证 过 程 如 下 : 

第 一 步 ，A 产生 并 向 B 发 送 消息 (ID、，Ke) 。 

第 二 步 ，B 收 到 〈ZP、，Kss ) 的 消息 后 ，B 检查 ID 入 ss 的 正确 性 。 若 正确 ， 则 确认 
A 的 身份 。 

第 三 步 ，B 回复 A 验证 结果 消息 。 

2. 基于 挑战 响应 


设 验 证 者 B 生成 一 个 随机 数 Re ，7D。 为 实体 A 的 标识 ，1Ds 为 实体 B 的 标识 ， 则 认证 过 
程 如 下 : 

第 一 步 ，B 产生 一 个 随机 数 Re ， 并 向 A 发 送 消息 ( IDs ，Rs ) 。 

第 二 步 ，A 收 到 (7ZDs ，Re ) 消息 后 ， 安 全 生成 包含 随机 数 Rs 的 秘密 Kas ， 并 发 送 消息 
CD Ky NB 

第 三 步 ，B 收 到 ( ID。，Kss ) 的 消息 后 ， 解 密 天 ss ， 检 查 Ra 是否 正确 。 若 正确 ， 则 确认 
A 的 身份 。 

第 四 步 ，B 回复 A 验证 结果 消息 。 


6.2.2 ”双向 认证 


双向 认证 是 指 在 认证 过 程 中 ， 验 证 者 对 声称 者 进行 单方 面 的 鉴别 ， 同 时 ， 声 称 者 也 对 验证 
者 的 身份 进行 确认 。 参 与 认证 的 实体 双方 互 为 验证 者 ， 如 图 6-4 所 示 。 
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A 的 标识 与 其 身份 证 明和 凭据 


A 
(声称 者 ) 
(验证 者 ) 


6-4 双向 认证 原理 图 


在 网 络 服务 认证 过 程 中 ， 双 向 认证 要 求 服务 方 和 客户 方 互 相 认 证 ， 客 户 方 也 认证 服务 方 ， 
这 样 就 可 以 解决 服务 器 的 真 假 识别 安全 问题 。 


6.2.3 第 三 方 认证 


第 三 方 认证 是 指 两 个 实体 在 鉴别 过 程 中 通过 可 信 的 第 三 方 来 实现 。 可 信 的 第 三 方 简称 TTP 
(Tmsted Third Party) 。 如 图 6-5 所 示 ， 第 三 方 与 每 个 认证 的 实体 共享 秘密 ， 实 体 A 和 实体 B 
分 别 与 它 共享 秘 密 密 钥 Kes 、Kze 。 当 实体 A 发 起 认证 请 求 时 ,实体 A 向 可 信 第 三 方 申请 获取 
实体 A 和 实体 B 的 密 钥 天 ss ， 然 后 实体 A 和 实体 B 使 用 Kas 加 密 保护 双方 的 认证 消息 。 


(验证 方 ) 


 A 和 B 使 用 共享 密 铀 
交换 认证 消息 


6-5 第 三 方 认证 原理 图 


实体 A 和 实体 B 基于 第 三 方 的 认证 方案 有 多 种 形式 ， 本 文选 取 一 种 基于 第 三 方 挑战 响应 
的 技术 方案 进行 阐述 。 设 A 和 了 各 生成 随机 数 为 Rs 、Rs ，7D 为 实体 A 的 标识 ，7Ds 为 实体 
B 的 标识 ， 则 认证 过 程 简要 描述 如 下 : 

第 一 步 ， 实 体 A 向 第 三 方 P 发 送 加 密 消息 Kes (ZIPae，RA ) 。 

第 二 步 , 第 三 方 收 到 天 paA (7ZDe，RA ) 的 消息 后 , 解密 获取 实体 A 消息 。 生 成 消息 Kea (Ra ， 
Kss ) 和 Kps (IDa。，Kss ) ， 发 送 到 实体 A。 

第 三 步 ， 实 体 A 发 送 Kp。( IDs。，Kss ) 到 实体 B。 

第 四 步 ， 实 体 B 解密 消息 Ke 〈ZDPs ，Kse ) ， 生 成 消息 天 se ( ID。，Rs ) ， 然 后 发 送 给 
实体 A。 

第 五 步 ， 实 体 A 解密 Ks ( IDs，Rs ) ， 生 成 消息 天 se ( 1Ds ， Rs ) 发 送 给 实体 B。 

第 六 步 ， 实 体 B 解密 消息 Ke (1Ds ，Rs ) ， 检 查 Rs 的 正确 性 ， 若 正确 ， 则 实体 A 认证 

第 七 步 ，B 回复 A 验证 结果 消息 。 
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6.3 ”认证 技术 方法 


认证 技术 方法 主要 有 口令 令 认证 技术 、 智能 卡 技术 、 基 于 生物 特征 认证 技术 、Kerberos 认证 
技术 等 多 种 实现 方式 ， 下 面 分 别 进行 阐述 


6.3.1 口令 认证 技术 


口令 认证 是 基于 用 户 所 知道 的 秘密 而 进行 的 认证 技术 ， 是 网 络 常见 的 身份 认证 方法 。 网 络 
设备 、 操 作 系 统 和 网 络 应 用 服务 等 都 采用 了 口令 认证 技术 。 例 如 ，Windows2000 系统 、UNIX 
系统 、BBS、 电 子 邮 件 、Web 服务 、FTP 服务 都 用 到 了 口令 认证 。 口 令 认 证 一 般 要 求 参与 认证 
的 双方 按照 事先 约定 的 规则 ， 用 户 发 起 服务 然后 用 户 被 要 求 向 服务 实体 提供 用 户 标识 和 
用 户口 令 ， 服 务实 体验 证 其 正确 性 ， 若 验证 通过 ， 则 允许 用 户 访问 。 

设 用 户 A 的 标识 为 Uh， 口令 为 有 ， 服 务 方 实体 为 B， 则 认证 过 程 描述 如 下 : 

第 一 步 ， 用 户 A 发 送 消息 (Uh，R ) 到 服务 方 B 

第 二 步 ， B 收 到 ( Uh， ) 消息 后 ， 检 查 和 及 的 正确 性 。 若 正确 ， 则 通过 用 户 A 的 
认证 。 

第 三 步 ，B 回复 用 户 A 

目前 ， 服 务 方 实体 B j 
后 存储 ， 口 令 非 明文 传输 。 

口令 认证 的 优点 是 简单 ， 易 于 实现 。 当 用 户 要 访问 系 
即 可 。 例 如 ， 当 使 用 者 以 超级 管理 员 身 份 访问 Solaris 操 人 
的 口令 信息 ， 如 图 6-6 所 示 。 


验证 结果 消息 。 


存储 用 户 A 的 口令 信息 。 一 般 安 全 要 求 把 口令 进行 加 密 变换 


究 时 ， 要 求 用 户 输入 “用 户 名 和 口令 ” 
时， 要 求 输入 root 用 户 名 和 root 


图 6-6 ”Solaris 的 口令 认证 示意 图 
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但 是 , 口令 认证 的 不 足 是 容易 受到 攻击 ， 主 要 攻击 方式 有 和 窍 听 、 重 放 、 中 间 人 攻击 、 口令 
猜测 等 。 因 此 ， 要 实现 口令 认证 的 安全 ， 应 至 少 满足 以 下 条 件 : 

。 口令 信息 要 安全 加 密 存 储 ; 

。 口令 信息 要 安全 传输 ; 

。 口令 认证 协议 要 抵抗 攻击 ， 符 合 安 全 协议 设计 要 求 ; 

。 口令 选择 要 求 做 到 避免 弱 口 令 。 

目前 ,为 了 保证 口令 认证 安全 ， 网 络 服务 提供 商 要 求 用 户 遵 循 口令 生成 安全 策略 ， 即 口令 
设置 要 符合 口令 安全 组 成 规则 ， 同 时 对 生成 的 口令 进行 安全 强度 评测 ， 从 而 促使 用 户 选择 安全 
强度 较 高 的 口令 。 如 图 6-7 所 示 ， 某 系统 要 求 用 户 的 口令 设置 符合 安全 规则 ， 同 时 进行 口令 安 
全 强度 检查 。 


和 e 
Account Registration set login AAA 


Your name [ We | St ON 


| vw 6-20 characters | 


和 Pp I 
Vour Email «| wangleitestpolicy@gmailcom 1 can only contain letters numbers and | 
1 punctuation (except spaces) 
Login Password | eeeeeeeeee |v letters, numbers and punctuation contain | 
-| _atleast two kinds of ! 
Reconfirm ws ~ 一 口令 安全 规则 


图 6-7 口令 安全 生成 示意 图 


6.3.2 ”智能 卡 技术 


智能 卡 是 一 种 带 有 存储 器 和 微 处 理 器 的 集成 电路 卡 ， 能 够 安全 存储 认证 信息 ， 并 有 具有 一 定 
的 计算 能 力 。 智 能 卡 认证 根据 用 户 所 拥有 的 实物 进行 ， 智 能 卡 认证 技术 广泛 应 用 于 社会 的 各 个 
方面 。 如 图 6-8 所 示 ， 通 过 智能 卡 来 实现 挑战 /响应 认证 。 在 挑战 /响应 认证 中 , 用 户 会 提供 一 张 
智能 卡 ， 智 能 卡 会 一 直 显 示 一 个 随时 间 而 变化 的 数字 。 假 如 用 户 试图 登录 目标 系统 ， 则 系统 首 
先 将 对 用 户 进行 认证 ， 步 又 如 下 : 

(1) 用 户 将 自己 的 ID 发 送 到 目标 系统 ; 

(2) 系统 提示 用 户 输入 数字 ; 

(3) 用 户 从 智能 卡 上 读 取 数 字 ; 

(4) 用 户 将 数字 发 送 给 系统 ; 

(5) 系统 用 收 到 的 数字 对 ID 进行 确认 ， 如 果 ID 有 效 ， 系 统 会 生成 一 个 数字 并 将 其 显示 给 
用 户 ， 称 为 挑战 ; 

(6) 用 户 将 上 面 的 挑战 输入 智能 卡 中 ; 

(7) 智能 卡 用 这 个 输入 的 值 根据 一 定 算法 计算 出 一 个 新 的 数字 并 显示 这 个 结果 ， 该 数字 称 
为 应 答 ; 
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(8) 用 户 将 应 答 输 入 系统 ; 
(9) 系统 验证 应 答 是 否 正确 ， 如 果 正 确 ， 用 户 通过 验证 并 登录 进入 系统 。 


目标 系统 
3 读 取 数 字 1 发 这 ID 
多 > 6. 挑 战 @ < 2. 提 示 输 入 数字 
智能 卡 。 ”7 应 答 用 户 Se 
一 一 一 
—_» 
5 .发送 挑 碾 
生成 挑战 
发 送 应 
检查 应 答 ， 
如 果 正确 则 
登录 成 功 


图 6-8 ”挑战 /响应 认证 示意 图 


6.3.3 ”基于 生物 特征 认证 技术 


利用 口令 进行 认证 的 方法 的 缺陷 是 口令 信息 容易 泄露 ， 而 智能 卡 又 可 能 丢失 或 被 伪造 。 在 
安全 性 要 求 高 的 环境 中 ， 这 两 种 技术 均 难以 满足 安全 需求 。 基 于 生物 特征 认证 就 是 利用 人 类 生 
物 特征 来 进行 验证 。 目 前 ， 指 纹 、 人 脸 、 视 网 膜 、 语 音 等 生物 特征 信息 可 用 来 进行 身份 认证 。 
人 的 指纹 与 生 俱 来 ， 而 且 一 生 不 变 。 视 网 膜 认证 是 根据 人 眼 视网膜 中 的 血管 分 布 模式 不 同 来 鉴 
别 不 同人 的 身份 。 语 音 认 证 则 是 依靠 和 的 声音 的 频率 来 判断 不 同人 的 身份 。 参 照 《信息 安全 技 
术 ”指纹 识别 系统 技术 要 求 》 标 准 规范 ， 指 纹 识别 系统 由 指纹 采集 、 指 纹 处 理 、 指 纹 登 记 、 指 
纹 比 对 等 技术 模块 组 成 ， 其 技术 处 理 流程 如 图 6-9 所 示 。 

基于 指纹 识别 系统 的 身份 鉴别 服务 如 图 6-10 所 示 ， 其 技术 原理 是 指纹 识别 系统 通过 对 获 
取 的 人 类 用 户 自 身 拥 有 的 独一无二 的 指纹 特征 的 鉴别 结果 ， 区 分 不 同 的 人 类 用 户 身份 。 

人 脸 识别 认证 已 广泛 应 用 在 日 常生 活 和 工作 中 ， 俗 称 “ 刷 脸 ”， 如 ATM 机 上 的 刷 脸 认 证 。 按 
照 《信息 安全 技术 基于 可 信 环 境 的 远程 人 脸 识别 认证 系统 技术 要 求 〈 征 求 意见 稿 ) 》 标 准 规 
范 ， 与 指纹 识别 系统 类 似 ， 人 脸 识 别 认证 系统 涉及 人 脸 采集 、 人 脸 处 理 、 人 脸 存 储 、 人 脸 识别 。 
如 图 6-11 所 示 ， 人 脸 识别 认证 系统 一 般 由 客户 端 、 服 务 器 端 、 安 全 传输 通道 组 成 。 客 户 端 由 环境 
检测 、 人 脸 采 集 、 活 体检 测 、 质 量 检测 、 安 全 管理 等 模块 组 成 ， 模 块 应 在 可 信 环 境 中 执行 。 服 务 器 
端 由 活体 判断 、 质 量 判断 、 人 脸 注册 、 人 脸 数据 库 、 人 脸 识别 、 比 对 策略 、 安 全 管理 等 模块 组 成 。 

根据 《信息 安全 技术 虹膜 识别 系统 技术 要 求 》 标 准 规范 ， 虹 膜 是 人 眼前 部 由 肌肉 组 织 、 
结缔 组 织 、 色 素 细胞 组 成 的 ， 主 要 用 来 控制 瞳孔 收缩 的 彩色 环形 生理 组 织 。 虹 膜 特征 是 对 虹膜 
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图 像 进行 特征 分 析 ， 生 成 能 区 分 个 体 的 唯一 的 特征 数据 序列 。 虹 膜 识别 系统 是 基于 虹膜 的 特征 
对 个 体 进行 自动 识别 的 系统 。 如 图 6-12 所 示 , 虹膜 识别 系统 一 般 包含 图 像 采 集 、 图 像 处 理 分 析 、 
虹膜 登记 处 理 、 用 户 识 别处 理 、 数 据 存储 、 传 输 管理 、 回 答 信息 处 理 等 功能 模块 。 系 统 实现 两 
种 基本 功能 : 虹膜 登记 和 用 户 识别 。 进 行 虹膜 登记 或 用 户 识别 时 ， 由 图 像 采集 模块 采集 用 户 虹 
膜 图 像 ， 经 图 像 处 理 分 析 模 块 处 理 ， 当 进行 虹膜 登记 时 ， 由 虹膜 登记 处 理 模块 生成 虹膜 登记 信 
息 并 存 入 数据 库 ， 当 进行 用 户 识别 时 ， 由 用 户 识别 处 理 模块 生成 用 户 识别 信息 ， 并 将 识别 信息 
与 登记 信息 进行 比 对 ， 得 出 识别 结果 。 


指纹 登记 


和 数据 库 或 存储 介质 
指纹 特征 参考 


村 本 处 再 

| 随 丝 中 同样 和 指纹 中 间 样 本 和 让 全 各 

| 1 

CD) 指纹 模板 
| 指纹 模型 


指纹 采集 样 梓 


指纹 特征 项 指纹 模板 
指纹 模型 
下 二 三 江 纹 LE 对 | 
| 比 对 成 绩 | 
| -GD 
| 此 纹 识 别 判 守 | 


芋 
ES 
俩 


肯定 声明 /拒绝 声明 /不 可 确定 


图 6-9 ”指纹 识别 系统 技术 流程 图 
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指纹 识别 身份 
鉴别 使 用 者 


人 类 用 户 指纹 识别 请 求 一 一 一 > ee 
主体 指纹 识别 结果 / 逻辑 访问 `、/ 物理 访问 


\、 控 制 系统 /、、 控 制 系统 


指纹 识别 请 求 
识别 结果 


指纹 采集 请 求 指纹 登记 请 求 


““、、 指纹 识别 系统 、 


> / 


指纹 识别 身份 
鉴别 申请 方 


指纹 识别 身份 
鉴别 验证 方 


< 比 对 策略 ] 


人 脸 识 别 


安全 传输 
环境 检测 


(区 全 管理 ] 


客户 端 服务 器 端 


| 人 脸 采 集 1KF 一 一 


图 6-11 人 脸 识别 认证 系统 参考 模型 示意 图 


第 6 章 认证 技术 原理 与 应 用 “图 125 医 


图 像 5 虹膜 数据 存储 、 传 输 
采集 | pe 登记 管理 模块 。 
再 
模块 全 处 
模块 模块 图 像 数 据 传输 、 
存储 管理 
全 此 征 数据 传输 、 
处 理 模块 下 和 和 咎 牛人 折 
Tn 足 ”| 辣 用 户 系统 传送 
闫 时 从 出 | 有 是 | 杂 腔 图 像 (或 
使 用 信号 I 
由 
人 加 入 图 像 库 
虹膜 登记 
艾 娃 分 入 a 
虹膜 图 像 机 像 
在 成 已 霹 记 生成 样本 
虹膜 特征 虹膜 特征 
氟 取 用 户 机 窗 扰 刘 虹膜 辨识 /验证 验证 
数据 ， 有 效 载荷 提取 
对 应 的 库 记录 
YY 秤 不 于 腊 特征 与 所 有 一 本 二 
生成 虹膜 特征 库 记 录 做 1:N 比 对 样 末 虹膜 特征 与 给 定 
数据 库 记 录 | 库 记录 做 1:1 比 对 
产生 虹膜 渡 识 了 
将 新 生成 的 记录 而 ”结果 产生 于 硬 攻 证 
入 虹膜 特征 数据 库 结果 
登记 结束 


图 6-12 虹膜 识别 系统 的 参考 模型 及 工作 流程 示意 图 


6.3.4 ”Kerberos 认证 技术 


Kerberos 是 一 个 网 络 认证 协议 ， 其 目标 是 使 用 密 钥 加 密 为 客户 端 /服务 器 应 用 程序 提供 强 
身份 认证 。 其 技术 原理 是 利用 对 称 密码 技术 , 使 用 可 信 的 第 三 方 来 为 应 用 服务 器 提供 认证 服务 ， 
并 在 用 户 和 服务 器 之 间 建 立 安全 信道 。 

Kerberos 由 美国 麻 省 理工 学 院 (MIT) 研制 实现 , 已 经 历 了 五 个 版 本 的 发 展 。 一 个 Kerberos 
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系统 涉及 四 个 基本 实体 : 

(1) Kerberos 客户 机 ， 用 户 用 来 访问 服务 器 设备 ; 

(2) AS (Authentication Server， 认 证 服务 器 ) ， 识 别 用 户 身份 并 提供 TGS 会 话 密 钥 ; 

(3) TGS(Ticket Granting Server, 票据 发 放 服务 器 ), 为 申请 服务 的 用 户 授予 票据 (Ticket) ; 

(4) 应 用 服务 器 (Application Server) ， 为 用 户 提供 服务 的 设备 或 系统 。 

其 中 ， 通 常 将 AS 和 TGS 统称 为 KDC (Key Distribution Center) 。 票 据 (Ticket) 是 用 于 
安全 的 传递 用 户 身份 所 需要 的 信息 的 集合 ， 主 要 包括 客户 方 Principal、 目 的 服务 方 Principal、 
客户 方 瑟 地址 ` 时 间 戳 (分 发 该 Ticket 的 时 间 )、Ticket 的 生存 期 .以 及 会 话 密 钥 等 内 容 .Kerberos 
V5 认证 协议 主要 由 六 步 构成 ， 如 图 6-13 所 示 。 


1. 向 AS 请 求 TGS 票 据 
入 2. 发 送 TGT 给 客户 
Kerberos | 3. 发 送 TGT 和 应 用 服务 AS 服务 器 
客户 票据 申请 
4 发 送 应 用 票据 给 客户 | as 服务 器 
KDC 


5. 发 送 会 话 票据 6. 应 用 服务 器 
到 服务 器 确认 请 求 


图 6-13 ”Kerberos 工作 流程 示意 图 


第 一 步 ， 如 图 6-14 所 示 ，Kerberos 客户 向 认证 服务 器 AS 申请 票据 TGT。 
已 知 : 
CC 用 户 名 
用 户 密码 
Kerberos 客 户 


* 用 户 名 
* 客户 认证 请 求 


“当前 时 间 


认证 服务 器 AS 
图 6-14 Kerberos 客户 向 AS 申请 票据 TGT 示意 图 
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第 二 步 ， 如 图 6-15 所 示 ， 当 认证 服务 器 AS 收 到 Kerberos 客户 发 来 的 消息 后 ，AS 在 认证 
数据 库 检查 确认 Kerberos 客户 , 产生 一 个 会 话 密 钥 , 同时 使 用 Kerberos 客户 的 秘密 密 钥 对 会 话 
密 钥 加 密 ， 然 后 生成 一 个 票据 TGT， 其 中 TGT 由 Kerberos 客户 的 实体 名 、 地 址 、 时 间 戳 、 限 
制 时 间 、 会 话 密 钥 组 成 。AS 生成 TGT 完毕 后 ， 把 TGT 发 送 给 Kerberos 客户 。 


已 知 : 
用 户 名 
用 户 的 密码 


Kerberos 客 户 
[和 | Tcket 已 知 : 
| 使 用 用 户 Tan 所 有 用 户 和 服务 名 
1 密码 加 密 (包含 TG 窗 钥 ) 有 效 期 有 限 ， 所 有 密码 
--- 通常 为 8 小 时 


认证 服务 器 AS 
图 6-15 ”认证 服务 器 AS 响应 Kerberos 客户 的 TGT 请 求 示意 图 


第 三 步 ， 如 图 6-16 所 示 ，Kerberos 客户 收 到 AS 发 来 的 TGT 后 ， 使 用 自己 的 秘密 密 钥 解 
密 得 到 会 话 密 钥 , 然后 利用 解密 的 信息 重新 构造 认证 请 求 单 ， 向 TGS 发 送 请 求 ， 申 请 访问 应 用 
服务 器 AP 所 需要 的 票据 〈Ticket) 。 


Kerberos 客 户 
本 返 民 人 ar 
使 用 TG | 用户 名 TGT 过 期 时 间 
， 密 铀 加密 |" 服务 请 求 TG 窜 角 
1 ”小 当前 时 间 AS 密 钥 


票据 服务 器 
6-16 ”Kerberos 客户 认证 请 求 票据 示意 图 


第 四 步 ， 如 图 6-17 所 示 ，TGS 使 用 其 秘密 密 钥 对 TGT 进行 解密 ， 同 时 ， 使 用 TGT 中 的 
会 话 密 钥 对 Kerberos 客户 的 请 求 认证 单 信息 进行 解密 ， 并 将 解密 后 的 认证 单 信息 与 TGT 中 信 
息 进 行 比较 。 然 后 ，TGS 生成 新 的 会 话 密 钥 以 供 Kerberos 客户 和 应 用 服务 器 使 用 ， 并 利用 各 自 
的 秘密 密 钥 加 密会 话 密 钥 。 最后， 生成 一 个 票据 ， 其 由 Kerberos 客户 的 实体 名 、 地 址 、 时 间 戳 、 
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限制 时 间 、 会 话 密 钥 组 成 。TGS 生成 TGT 完毕 后 ， 把 TGT 发 送 给 Kerberos 客户 。 


! 使 用 TG | ,pw 授权 的 TGT 
| 密 钥 加 密 | 会 话 密 角 TOT 过 期 时 间 
外 TG 密 钥 

! 使 用 AS | 请 求 服务 LS 全 

| 密 钥 加 密 | ”的 票据 票据 授予 服务 


图 6-17 票据 服务 器 TGS 响应 Kerberos 客户 的 请 求 示意 图 


第 五 步 ， 如 图 6-18 所 示 ，Kerberos 客户 收 到 TGS 的 响应 后 ， 获 得 与 应 用 服务 器 共享 的 会 
话 密 钥 。 与 此 同时 ，Kerberos 客户 生成 一 个 新 的 用 于 访问 应 用 服务 器 的 认证 单 ， 并 用 与 应 用 服 
务 器 共享 的 会 话 密 钥 加 密 ， 然 后 与 TGS 发 送 来 的 票据 一 并 传送 到 应 用 服务 器 。 

已 知 ; 
用 户 名 
用 户 的 密码 
TG 密 名 
会 话 密 钥 


Kerberos 客 户 
| 使 用 AS 
| 密 钥 加 密 一 一 | 
| 使 用 会 话 
! 密 钥 加 密 应 用 服务 器 


图 6-18 Kerberos 客户 请 求 访问 应 用 服务 器 AP 示意 图 


Kerberos 协议 中 要 求 用 户 经 过 AS 和 TGS 两 重 认 证 的 优点 主要 有 两 点 。 

(1) 可 以 显著 减少 用 户 密 钥 的 密 文 的 暴露 次 数 ， 这 样 就 可 以 减少 攻击 者 对 有 关 用 户 密 钥 的 
密 文 的 积累 。 

(2) Kerberos 认证 过 程 具有 单 点 登录 (Single Sign On, SSO) 的 优点 , 只 要 用 户 拿 到 了 TGT 
并 且 该 TGT 没有 过 期 , 那么 用 户 就 可 以 使 用 该 TGT 通过 TGS 完成 到 任 一 服务 器 的 认证 过 程 而 


第 6 章 认证 技术 原理 与 应 用 “ 通 129 医 


不 必 重 新 输入 密码 。 

但 是 ，Kerberos 也 存在 不 足 之 处 。Kerberos 认证 系统 要 求解 决 主机 节点 时 间 同 步 问 题 和 抵 
御 拒 绝 服务 攻击 。 如果 某 台 主 机 的 时 间 被 更 改 , 那么 这 台 主 机 就 无 法 使 用 Kerberos 认证 协议 了 ， 
如 果 服 务 器 的 时 间 发 生 了 错误 ， 那 么 整个 Kerberos 认证 系统 将 会 瘫痪 。 尽 管 Kerberos V5 有 不 
尽 如 人 意 的 地 方 ， 但 它 仍然 是 一 个 比较 好 的 安全 认证 协议 。 目 前 ，Windows 系统 和 Hadoop 都 
支持 Kerberos 认证 。 


6.3.5 _ 公 和 钥 基 础 设施 (PKI ) 技术 


公 钥 密码 体制 不 仅 能 够 实现 加 密 服务 , 而 且 也 能 提供 识别 和 认证 服务 。 除 了 保密 性 之 外 ， 
公 钥 密码 可 信 分 发 也 是 其 所 面临 的 问题 ， 即 公 钥 的 真实 性 和 所 有 权 问 题 。 针 对 该 问题 ， 人 们 
采用 “ 公 角 证书” 的 方法 来 解决 ， 类 似 身 份 证 、 护 照 。 公 钥 证 书 是 将 实体 和 一 个 公 钥 绑 定 ， 
并 让 其 他 的 实体 能 够 验证 这 种 绑 定 关系 。 为 此 ， 需 要 一 个 可 信 第 三 方 来 担保 实体 的 身份 ， 这 
个 第 三 方 称 为 认证 机 构 ， 简 称 CA〈Certification Authority) 。CA 负责 颁发 证 书 ， 证 书 中 含有 
实体 名 、 公 钥 以 及 实体 的 其 他 身份 信息 。 而 PKI (Public Key Infrastructure) 就 是 有 关 创 建 、 
管理 、 存 储 、 分 发 和 撤销 公 钥 证 书 所 需要 的 硬件 、 软 件 、 人 员 、 策 略 和 过 程 的 安全 服务 设施 。 
PKI 提供 了 一 种 系统 化 的 、 可 扩展 的 、 统 一 的 、 容 易 控 制 的 公 钥 分 发 方法 。 基 于 PKI 的 主要 
安全 服务 有 身份 认证 、 完 整 性 保护 、 数 字 签名 、 会 话 加 密 管理 、 密 钥 恢复 。 一 般 来 说 ，PKI 
涉及 多 个 实体 之 间 的 协商 和 操作 ， 主 要 实体 包括 CA、RA、 终 端 实体 (End Entity) 、 客 户 端 、 


目录 服务 器 ， 如 图 6-19 所 示 。 


~ 


~ 


证 书 归档 
ee 
~ 俐 中 诗 者 i 


6-19 PKI 组 成 及 服务 示意 图 
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PKI 各 实体 的 功能 分 别 叙 述 如 下 : 


6.3.6 


CA (Certification Authority) : 证 书 授 权 机 构 ， 主 要 进行 证 书 的 颁发 、 废 止 和 更 新 ; 

认证 机 构 负 责 签 发 、 管 理 和 撤销 一 组 终端 用 户 的 证 书 。 

RA (Registration Authority) : 证 书 登记 权威 机 构 ， 将 公 钥 和 对 应 的 证 书 持 有 者 的 身份 
及 其 他 属性 联系 起 来 ， 进 行 注册 和 担保 ; RA 可 以 充当 CA 和 它 的 终端 用 户 之 间 的 中 
间 实 体 ， 辅 助 CA 完成 其 他 绝 大 部 分 的 证 书 处 理 功能 。 

目录 服务 器 : CA 通常 使 用 一 个 目录 服务 器 ， 提 供 证 书 管理 和 分 发 的 服务 。 

终端 实体 (End Entity) : 指 需要 认证 的 对 象 ， 例 如 服务 器 、 打 印 机 、E-mail 地 址 、 

用 户 等 。 

客户 端 (Client) : 指 需要 基于 PKI 安全 服务 的 使 用 者 ， 包 括 用 户 、 服 务 进程 等 。 


单 点 登 


单 点 登录 〈Single Sign On) 是 指 用 户 访问 使 用 不 同 的 系统 时 ， 只 需要 进行 一 次 身份 认证 ， 
就 可 以 根据 这 次 登录 的 认证 身份 访问 授权 资源 。 单 点 登录 解决 了 用 户 访问 使 用 不 同系 统 时 ， 需 
要 输入 不 同系 统 的 口令 以 及 保管 口令 问题 ， 简 化 了 认证 管理 工作 。 


6.3.7 


基于 人 机 识别 认证 技术 


基于 人 机 识别 认证 利用 计算 机 求解 问题 的 困难 性 以 区 分 计算 机 和 人 的 操作 ,防止 计算 机 程 
序 恶意 操作 ， 如 恶意 注册 、 暴 力 猜 解 口令 等 。 基 于 人 机 识别 认证 技术 通常 称 为 CAPTCHA 
(Completely Automated Public Turing test to tell Computers and Humans Apart) 技术 。CAPTCHA 
技术 主要 包括 文本 CAPTCHA、 图 像 CAPTCHA、 语 音 CAPTCHA。CAPTCHA 技术 的 工作 机 
制 是 认证 者 事先 有 一 个 CAPTCHA 服务 器 负责 CAPTCHA 信息 的 生成 和 测试 , 当 用 户 使 用 需要 
CAPTCHA 验证 的 服务 时 候 ，CAPTCHA 服务 器 则 给 用 户 生成 CAPTCHA 测试 ， 如 果 用 户 测试 
结果 正确 ， 则 认证 通过 。 


如 图 6-20 所 示 ，12306 系统 用 户 登录 使 用 口令 认证 


扫 码 登录 账 S 登 录 


技术 和 基于 人 机 识别 认证 技术 ， 防 止 黑客 恶意 注册 攻击 。 
天 用 户 各 /邮箱 /手机 号 
6.3.8 多 因素 认证 技术 Sm 
多 因素 认证 技术 使 用 多 种 鉴别 信息 进行 组 合 ， 以 提 ee 
升 认证 的 安全 强度 。 根 据 认证 机 制 所 依赖 的 鉴别 信息 的 访 忆 之 po 


多 少 ， 


认证 通常 称 为 双 因素 认证 或 多 因素 认证 。 Bk 


6.3.9 基于 行为 的 身份 鉴别 技术 
基于 行为 的 身份 鉴别 是 根据 用 户 行为 和 风险 大 小 而 


立即 登录 


主 册 12306 账 邱 | 忘记 机 码 ? 


进行 的 身份 鉴别 技术 。 如 图 6-21 所 示 ， 通 过 分 析 用 户 的 。 图 6-20 CAPTCHA 技术 应 用 示意 图 
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基本 信息 ， 获 取 用 户 个 体 画 像 ， 进 而 动态 监控 用 户 状态 以 判定 用 户 身 份 ， 防 止 假冒 用 户 登录 或 
者 关键 操作 失误 。 


喜爱 场所 
溃 其 工作 地 点 
~ 昌 /一 > [区 是 到 吕 
EF 
“@— 消费 能 
性 格 


图 6-21 用 户 基本 信息 示意 图 
目前 ， 互 联网 企业 ， 如 腾讯 、 阿 里 巴巴 等 均 已 使 用 基于 行为 的 身份 鉴别 技术 。 
6.3.10 ”快速 在 线 认证 (FIDO ) 
Fast IDentity Online 简称 FIDO， FIDO 使 用 标准 公 钥 加 密 技术 来 提供 强身 份 验 证 。FIDO 


的 设计 目标 是 保护 用 户 隐私 ， 不 提供 跟踪 用 户 的 信息 ， 用 户 生物 识别 信息 不 离开 用 户 的 设备 。 
FIDO 的 技术 原理 描述 如 下 。 


1. 登记 注册 
如 图 6-22 所 示 ， 用 户 创建 新 的 公私 钥 密 钥 对 。 其 中 ， 私 钥 保 留 在 用 户 端 设备 中 ， 只 将 公 


钥 注册 到 在 线 服务 。 公 钥 将 发 送 到 在 线 服务 并 与 用 户 账户 关联 。 私 钥 和 有 关 本 地 身份 验证 方法 
的 任何 信息 《如 生物 识别 测量 或 模板 ) 永远 不 会 离开 本 地 设备 。 


注册 开始 用 户 批准 


图 6-22 FIDO 用 户 注 册 示 意图 
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2. 登录 使 用 


如 图 6-23 所 示 ， 当 用 户 使 用 FIDO 进行 登录 在 线 服务 的 时 候 , 在 线 服务 提示 要 求 用 户 使 用 
以 前 注册 的 设备 登录 。 然后， 用 户 使 用 与 注册 时 相同 的 方法 解锁 FIDO 身份 验证 器 。 用 户 根据 
账户 标识 符 选择 正确 的 密 钥 响应 在 线 服务 的 挑战 ， 并 发 送 签名 的 质询 到 在 线 服务 。 最 后 ， 在 线 
服务 使 用 存放 的 用 户 公 钥 和 日 志 来 验证 用 户 响应 是 否 正确 。 若 正确 ， 则 通过 用 户 认 证 ， 人 允许 登 
录 在 线 服务 。 


用 户 批准 


图 6-23 FIDO 用 户 登录 示意 图 


FIDO 协议 给 了 用 户 客户 端 身份 验证 方法 的 通用 接口 ， 浏 览 器 可 以 使 用 标准 API 调用 
FIDO 进行 身份 验证 。FIDO 支持 客户 端 不 同 的 身份 验证 方法 ， 如 安全 PIN、 生 物 识 别 〈 人 脸 、 
语音 、 虹 膜 、 指 纹 识 别 ) 以 及 符合 FIDO 标准 要 求 的 认证 设备 等 ， 如 图 6-24 所 示 。 


图 6-24 FIDO 用 户 端 认证 示意 图 
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6.4 认证 主要 产品 与 技术 指标 


认证 技术 产品 是 最 为 普遍 的 网 络 安全 产品 ， 其 产品 形态 有 硬件 实体 模式 、 软 件 模式 或 软 硬 
结合 模式 。 商 业 产 品 主要 为 物理 硬件 实体 ， 安 全 功能 软件 集成 到 硬件 实体 中 。 以 下 将 介绍 认证 
产品 类 型 及 技术 指标 。 


6.4.1 认证 主要 产品 

目前 ， 认 证 技术 主要 产品 类 型 包括 系统 安全 增强 、 生 物 认 证 、 电 子 认证 服务 、 网 络 准 入 控 
制 和 身份 认证 网 关 5 类 。 

1. 系统 安全 增强 

系统 安全 增强 产品 的 技术 特点 是 利用 多 因素 认证 技术 增强 操作 系统 、 数 据 库 系 统 、 网 站 等 


的 认证 安全 强度 。 采 用 的 多 因素 认证 技术 通常 是 U 盘 + 口 令 、 智 能 卡 + 口令 、 生 物 信息 + 口令 等 。 
产品 应 用 场景 有 盘 登 录 计 算 机 、 网 银 U 盾 认 证 、 指 纹 登录 计算 机 /网 站 /邮箱 等 。 


2. 生物 认证 


生物 认证 产品 的 技术 特点 是 利用 指纹 、 人 脸 、 语 音 等 生物 信息 对 人 的 身份 进行 鉴别 。 目 前 
市 场 上 的 产品 有 人 证 核验 智能 终端 ”指纹 上 盘 、 人 脸 识 别 门禁 、 指 纹 采 集 仪 、 指 纹 比 对 引擎 、 
人 脸 自 动 识别 平台 。 

3. 电子 认证 服务 

电子 认证 服务 产品 的 技术 特点 是 电子 认证 服务 机 构 采 用 PKI 技术 、 密码 算 法 等 提供 数字 证 
书 申请 、 颁 发 、 存 档 、 查 询 、 废 止 等 服务 ， 以 及 基于 数字 证 书 为 电子 活动 提供 可 信 身份 、 可 信 
时 间 和 可 信行 为 综合 服务 。 目 前 国内 电子 认证 服务 产品 有 数字 证 书 认证 系统 、 证 书 管理 服务 器 、 
可 信和 网络 身份 认证 、SSL 证 书 、 数 字 证 书 服务 、 时 间 戳 公共 服务 平台 、 个 人 多 源 可 信 身份 统一 
认证 服务 平台 等 。 

4. 网 络 准 入 控制 

网 络 准 入 控制 产品 的 技术 特点 是 采用 基于 802.1X 协议 、Radius 协议 、VPN 等 的 身份 验证 


相关 技术 ， 与 网 络 交换 机 、 路 由 器 、 安 全 网 关 等 设备 联动 ， 对 入 网 设备 〈 如 主机 、 移 动 PC、 
智能 手机 等 ) 进行 身份 认证 和 安全 合 规 性 验证 ， 防 范 非 安全 设备 接 入 内 部 网 络 。 


5. 身份 认证 网 关 


身份 认证 网 关 产 品 的 技术 特点 是 利用 数字 证 书 、 数 据 同步 、 网 络 服务 重 定向 等 技术 ， 提 供 
集中 、 统 一 的 认证 服务 ， 形 成 身份 认证 中 心 ， 具 有 单 点 登录 、 安 全 审计 等 安全 服务 功能 。 
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6.4.2 主要 技术 指标 


一 般 来 说 ， 认 证 技术 产品 的 评价 指标 可 以 分 成 三 类 ， 即 安全 功能 要 求 、 性 能 要 求 和 安全 保 
障 要 求 。 认 证 技术 产品 的 主要 技术 指标 如 下 

(1) 密码 算法 支持 : 认证 技术 主要 依赖 于 密码 技术 ， 因 此 ， 认 证 产品 中 的 密码 算法 是 安全 
性 的 重要 因素 。 常见 的 密码 算法 类 型 有 DES/3DES、AES、SHA-1、RSA、SM1/SM2/SM3/SM4。 

(2) 认证 准确 性 : 认证 产品 的 认 假 率 、 拒 真 率 。 

(3) 用 户 支持 数量 : 认证 产品 最 大 承载 的 用 户 数量 。 

(4) 安全 保障 级 别 : 认证 产品 的 安全 保障 措施 、 安 全 可 靠 程度 、 抵 抗 攻击 能 力 等 。 


6.5 “认证 技术 应 用 


认证 技术 是 网 络 安全 保障 的 基础 性 技术 ， 普 遍 应 用 于 网 络 信息 系统 保护 。 认 证 技术 常见 的 
应 用 场景 如 下 : 

(1) 用 户 身份 验证 : 验证 网 络 资源 的 访问 者 的 身份 ， 给 网 络 系统 访问 授权 提供 支持 服务 。 

(2) 信息 来 源 证 实 : 验证 网 络 信息 的 发 送 者 和 接收 者 的 真实 性 ， 防 止 假冒 。 

(3) 信息 安全 保护 : 通过 认证 技术 保护 网 络 信息 的 机 密 性 、 完 整 性 ， 防 止 泄密 、 算 改 、 重 
放 或 延迟 。 

下 面 将 介绍 校园 网 、 网 络 路 由 、 机 房 门 禁 、 公 民 网 络 电子 身份 标识 、HTTP 等 方面 的 认证 
技术 应 用 ， 以 供 读者 作为 其 他 安全 应 用 参考 。 


6.5.1 校园 信任 体系 建设 应 用 参考 


校园 信息 化 的 主要 特点 是 以 校园 网 络 为 基础 ， 利 用 信息 技术 让 学 校 教育 科研 机 构 、 教 育 科 
研 基础 设施 、 教 学 资源 等 实现 数字 化 、 网 络 化 、 信 息 化 ， 使 得 校园 内 的 教师 、 学 生 可 以 利用 计 
算 机 网 络 进行 各 种 教学 、 科 研 和 管理 活动 。 与 此 同时 ， 校 园 网 络 面临 各 种 网 络 安全 风险 ， 其 中 
包括 身份 冒 用 、 信 息 泄密 、 数 据 自 改 等 问题 。 针 对 上 述 问 题 ， 某 数字 证 书 认 证 中 心 给 出 了 校园 
网 信任 体系 建设 方案 ， 该 方案 描述 如 下 。 

如 图 6-25 所 示 ， 在 校园 内 部 建设 数字 证 书 发 放 和 服务 体系 ， 进 行 数字 身份 凭证 的 管理 。 
通过 严格 按照 相关 规范 进行 身份 验证 ， 实 现 对 物理 身份 与 数字 身份 的 对 应 ， 并 通过 对 数字 证 书 
的 申请 、 发放 、 吊 销 、 更 新 等 管理 过 程 ,实现 数字 身份 凭证 的 管理 。 建 立 的 统一 认证 管理 系统 ， 
围绕 整合 的 用 户 、 应 用 系统 等 资源 的 管理 ， 构 建 网 络 信任 体系 的 基础 设施 平台 。 平 台 实现 基于 
数字 证 书 的 身份 认证 ， 实 现 基 于 角色 或 资源 的 授权 管理 ， 实 现 统一 的 安全 策略 设 定 和 维护 ， 实 
现 责任 认定 的 安全 审计 。 建 立 PKI 应 用 支持 系统 ， 为 校园 内 部 其 他 应 用 系统 提供 可 信 的 数据 电 
文 服务 。 
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教育 管理 
教师 、 学 生 用 户 业务 系统 


-人 - 一 一 
教学 管理 


让 亚 迄 子 官 
raf 统一 认证 平台 


考试 系统 


ER 


身份 认证 | 访问 授权 || 间 点 登录 | 数据 同步 | 正 书 服务 | 电子 签 章 | 除 据 加 解 品 


VY Vv Vv VV Vv vy 


应 用 安全 集成 


图 6-25 校园 信任 体系 建设 示意 图 


6.5.2 网络 路 由 认证 应 用 参考 


路 由 安全 是 网 络 安全 的 基础 ， 为 了 保证 路 由 安全 ， 路 由 器 设备 的 访问 及 路 由 消息 都 需要 进 
行 认证 。 


1. 用 户 认 证 


当 一 个 用 户 访问 路 由 器 时 ， 必 须 经 过 认证 通过 后 才能 被 允许 。 某 路 由 器 用 户 名 和 设置 口令 
配置 如 下 。 

Central# config t 

Enter configuration commands, one per line. End with CNTL/Z. 

Central (config)# username rsmith password 3d-zirc0nia 

Central (config)# username rsmith privilege 1 

Central (config)# username bjones password 2B-or-3B 


Central (config)# username bjones privilege 1 


2. 路 由 器 邻居 认证 


当 两 个 相 邻 的 路 由 器 进行 路 由 信息 交换 时 ， 需 要 进行 身份 验证 ， 以 保证 接收 可 信 的 路 由 信 
息 ， 以 防止 出 现 未 经 授权 的 、 恶 意 的 路 由 更 新 。 路 由 器 邻居 认证 的 类 型 有 OSPF 认证 、RIP 认 
证 、EIGRP 认证 。 认证 模式 有 明文 认证 (Plaintext Authentication)、 消 息 摘要 认证 (Message Digest 
Authentication) 。 明 文 认证 不 安全 ， 口 令 容易 被 监听 。 为 保护 路 由 安全 ， 一 般 推 荐 采用 消息 摘 
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要 认证 。OSPF 认证 配置 示意 图 如 图 6-26 所 示 。 
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6-26 ”OSPF 认证 网 络 拓扑 结构 图 


路 由 器 North 和 路 由 器 East 相 邻 ， 属 于 area 0。 各 路 由 器 的 OSPF 认证 配置 如 下 。 


North# config 七 

Enter configuration commands, one per line. End with CNTL/2Z. 
North (config)# router ospf 1 

North (config-router)# network 14.1.x.y 0.0.255.255 area 0 
North (config-router)# area 0 authentication message-digest 
North (config-router)# exit 

North (config)# int eth0/1 


North (config-if)# ip ospf message-digest-key 1 md5 routes-4-all 


提高 了 安全 防范 等 级 ， 有 助 于 管理 部 门 和 保卫 部 门 消除 隐患 、 提 高 了 
如 图 6-27 所 示 ， 基 于 人 脸 识别 机 房 门 禁 管理 系统 利用 先进 的 生物 识别 技术 ， 通 过 人 脸 特 
征 信 息 快速 判断 人 员 身 份 ， 客 观 控制 门禁 系统 ， 彻 底 杜 绝 通过 伪造 证 件 冒 名 项 蔡 、 利 用 他 人 
证 件 通过 及 擅自 进入 的 可 能 性 。 人 员 进 出 数据 及 现场 记录 图 像 可 实时 上 传 管理 端 ， 帮 助 管理 
者 轻松 、 高 效 地 进行 安全 管理 工作 。 
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North (config-if)# end 
North# 


East#config 七 

Enter configuration commands, one per line. End with CNTL/2Z. 
East (config)# router ospf 1 

East (config-router)# area 0 authentication message-digest 
East (config-router)# network 14.1.x.y 0.0.255.255 area 0 
East (config-router)# network 14.2.x.y 0.0.0.255 area 0 

East (config-router)# exit 

East (config)# int eth0 

East (config-if)# ip ospf message-digest-key 1 md5 routes-4-all 
East (config-if)# end 

East# 


6.5.3 ”基于 人 脸 识别 机 房 门禁 管理 应 用 参考 


目前 ， 机 房 出 入 人 员 身 份 复杂 ， 存 在 伪造 证 件 、 蔡 岗 、 擅 自 进 入 等 安全 问题 。 事 后 追查 无 
法 取证 、 相 互 推卸 责任 。 


针对 上 述 问题 ， 机 房 人 脸 识别 门禁 管理 系统 应 运 而 生 ， 系 统 通过 加 强身 份 验证 的 严密 性 ， 


比 对 结果 及 门禁 控制 信号 


人 像 信息 


人 脸 如 别 考勤 

全 KK] 。 人 并 并 
禁止 进入 
SG 授权 人 


非 授权 人 
图 6-27 ”基于 人 脸 识别 机 房 门禁 管理 示意 图 


[ 作 效 率 ， 该 方案 描述 如 下 。 
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6.5.4 ”elD 身份 验证 应 用 参考 


公民 网 络 电子 身份 标识 〈 简 称 eID) 是 国家 网 络 安全 的 重要 保障 。eID 是 由 国家 主管 部 门 
颁发 ， 与 个 人 真实 身份 具有 一 一 对 应 关系 ， 用 于 在 线 识别 公民 真实 身份 的 网 络 电子 身份 。 由 一 
对 非 对 称 密 钥 和 含有 其 公 钥 及 相关 信息 的 数字 证 书 组 成 。 

按照 《信息 安全 技术 公民 网 络 电子 身份 标识 安全 技术 要 求 第 3 部 分 : 验证 服务 消息 及 其 
处 理 规则 》 标 准 规范 进行 要 求 。eID 身份 验证 涉及 eID 服务 平台 、 应 用 服务 提供 商 和 持 有 eID 
的 用 户 。eID 身份 验证 服务 相关 步骤 如 图 6-28 所 示 。 

(1) 应 用 服务 提供 商 根据 需要 向 eID 服务 平台 发 送 服务 请 求 。 

(2) eID 服务 平台 返回 一 个 随机 数 作为 本 次 验证 服务 的 挑战 。 

(3) 应 用 服务 提供 商 完 成 相应 的 eID 运算 , 将 待 传输 数据 按照 所 规定 的 格式 作为 验证 请 求 ， 


发 送 给 eID 服务 平台 。 
(4) eID 服务 平台 在 本 地 执行 相关 的 验证 服务 后 ， 按 照 规 定格 式 返回 相应 的 验证 结果 给 应 
用 服务 提供 商 。 
人 线 下 审核 和 注册 ---------- ， 
; 四 
1. 服 务 请 求 
应 2 . 挑 成 
._---| 用 
完成 aD 运算 ， 服 5 
组 建 请 求 数据 各 昌 
了 和 售 3. 验 证 请 求 一 半 | i 
= 台 验证 
< 4. 验 证 结果 


图 6-28 ”eID 身份 验证 步 又 


6.5.5 ”HTTP 认证 应 用 参考 


HTTP 是 Web 服务 器 应 用 协议 ， 支 持 的 认证 方式 主要 有 基本 访问 认证 (Basic Access 
Authentication, BAA) 、 数 字 摘 要 认证 (Digest Authentication) 、NTLM 、Negotiate、 Windows 
Live ID 等 ， 有 关 认 证 详 见 RFC 7235 、RFC 7617 、RFC 7616 等 文档 。HTTP 认证 过 程 框 架 如 
图 6-29 所 示 。 


第 6 章 认证 技术 原理 与 应 用 “图 139 莉 


a 


@ 检查 授权 


! DOET/HTIPN | 

| 。 客户 端 请 求 访问 授权 资源 | 

9 窒 | 闭 | | 

bo Lu 服务 吕 清 求 客户 进行 身 从 验证 | 

9 ee 
‘Opp | $0 Wir 

! “客户 端 发 送 赁 证 | 


HTTP/L1 200 OK ® 
HTTP/L.1 403 Forbidden 
服务 器 发 送 授权 状态 
如 果 认 证 成 功 则 发 送 被 请 求 的 资源 


图 6-29 HTTP 认证 过 程 框架 


其 中 ，BAA 应 用 比较 普遍 。 当 远程 用 户 访问 需要 认证 Web 资源 时 ， 浏 览 器 弹出 认证 窗口 ， 
要 求 用 户 输 入 账号 和 口令 ， 当 认证 通过 后 ，Web 服务 器 才 授权 用 户 访问 ， 如 图 6-30 所 示 。 


图 6-30 HTITP BAA 认证 示意 图 


6.6 本章 小 结 


本 章 首 先 介绍 了 认证 的 概念 以 及 认证 依据 ， 并 按照 认证 特点 把 认证 归 为 三 类 ; 然后 讲述 了 
常见 的 认证 技术 ; 最 后 举例 说 明 认 证 技术 在 实际 中 的 应 用 。 
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7.1 访问 控制 概述 


访问 控制 是 网 络 信息 系统 的 基本 安全 机 制 ， 本 节 将 阐述 访问 控制 的 概念 和 访问 控制 目标 。 
7.1.1 访问 控制 概念 


在 网 络 信息 化 环境 中 ， 资 源 不 是 无 限制 开放 的 ， 而 是 在 一 定 约束 条 件 下 ， 用 户 才能 使 用 。 
例如 ， 普 通 网 民 可 以 浏览 网 站 新 闻 ， 但 不 能 修改 。 由 于 网 络 及 信息 所 具有 的 价值 ， 其 难以 避免 
地 会 受到 意外 的 或 蓄意 的 未 经 授权 的 使 用 和 破坏 。 为 此 , 必须 对 网 络 上 的 资源 进行 授权 和 限制 ， 
使 得 只 有 经 过 授权 的 用 户 才能 以 合 规 的 方式 进行 使 用 。 如 图 7-1 所 示 ， 某 校园 网 拒绝 非 本 校 的 
IP 地 址 访问 网 页 资源 。 


您 当前 访问 的 页 面 出 错 
提示 : 您 当前 ip 并 非 校内 地 址 ， 该 信息 仅 允许 校内 地 址 访问 
合 首页 。 马 关闭 此 页 


图 7-1 访问 控制 结果 示意 图 


访问 控制 是 指 对 资源 对 象 的 访问 者 授权 、 控 制 的 方法 及 运行 机 制 。 访 问 者 又 称 为 主体 ， 可 
以 是 用 户 、 进 程 、 应 用 程序 等 ， 而 资源 对 象 又 称 为 客体 ， 即 被 访问 的 对 象 ， 可 以 是 文件 、 应 用 
服务 、 数 据 等 ， 授 权 是 访问 者 可 以 对 资源 对 象 进行 访问 的 方式 ， 如 文件 的 读 、 写 、 删 除 、 追 加 
或 电子 邮件 服务 的 接收 、 发 送 等 ， 控 制 就 是 对 访问 者 使 用 方式 的 监测 和 限制 以 及 对 是 否 许可 用 
户 访问 资源 对 象 做 出 决策 ， 如 拒绝 访问 、 授 权 许可 、 禁 止 操作 等 。 


7.1.2 访问 控制 目标 


访问 控制 的 目标 有 两 个 : 一 是 防止 非法 用 户 进入 系统 ; 二 是 阻止 合法 用 户 对 系统 资源 的 非 
法 使 用 ， 即 禁止 合法 用 户 的 越权 访问 。 要 实现 访问 控制 的 目标 ， 首 先 要 对 网 络 用 户 进行 有 效 的 
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身份 认证 ， 然 后 根据 不 同 的 用 户 授予 不 同 的 访问 权限 ， 进 而 保护 系统 资源 。 同 时 还 可 以 进行 系 
统 的 安全 审计 和 监控 ， 检 测 用 户 对 系统 的 攻击 企图 。 如 图 7-2 所 示 ， 通 过 访问 控制 与 认证 机 制 、 
审计 机 制 的 协同 ， 实 现 访问 控制 。 首 先 认证 机 制 验证 用 户 身份 ， 防 止 非法 访问 ;然后 根据 授权 
数据 库 ， 确 定 用 户 对 系统 资源 的 访问 类 型 ， 授 权 用 户 访问 操作 ; 同时， 审计 机 制 对 认证 机 制 、 
用 户 访问 操作 进行 记录 ， 以 备 有 据 可 查 。 


> 


安全 管理 员 认证 


图 7-2 访问 控制 与 其 他 安全 机 制 关系 


7.2 访问 控制 模型 


本 节 主 要 介绍 访问 控制 通用 性 模型 ， 然 后 分 析 访 问 控制 模型 的 发 展 情况 。 
7.2.1 访问 控制 参考 模型 


访问 控制 机 制 由 一 组 安全 机 制 构成 ， 可 以 抽象 为 一 个 简单 的 模型 ， 组 成 要 素 主 要 有 主体 
(Subject) 、 参 考 监 视 器 (Reference Monitor) 、 客 体 (Object) 、 访 问 控制 数据 库 、 审 计 库 ， 
如 图 7-3 所 示 。 


访问 控制 数据 库 


主体 | 参考 监视 器 ”| 一 -| 客体 


审计 库 


7-3 访问 控制 参考 模型 
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1. 主体 


主体 是 客体 的 操作 实施 者 。 实 体 通常 是 人 、 进 程 或 设备 等 ， 一 般 是 代表 用 户 执行 操作 的 进 
程 。 比 如 编辑 一 个 文件 ， 编 辑 进程 是 存 取 文 件 的 主体 ， 而 文件 则 是 客体 。 


2. 客体 
客体 是 被 主体 操作 的 对 象 。 通 常 来 说 ， 对 一 个 客体 的 访问 隐 含 着 对 其 信息 的 访问 。 
3. 参考 监视 器 


参考 监视 器 是 访问 控制 的 决策 单元 和 执行 单元 的 集合 体 。 控 制 从 主体 到 客体 的 每 一 次 操 
作 ， 监 督 主体 和 客体 之 间 的 授权 访问 行为 ， 并 将 重要 的 安全 事件 存 入 审计 文件 之 中 。 


4. 访问 控制 数据 库 


记录 主体 访问 客体 的 权限 及 其 访问 方式 的 信息 ， 提 供 访问 控制 决策 判断 的 依据 ， 也 称 为 访 
问 控制 策略 库 。 该 数据 库 随 着 主体 和 客体 的 产生 、 删 除 及 其 权限 的 修改 而 动态 变化 。 


$5. 审计 库 
存储 主体 访问 客体 的 操作 信息 ， 包 括 访问 成 功 、 访 问 失败 以 及 访问 操作 信息 。 
7.2.2 访问 控制 模型 发 展 


为 适应 不 同 应 用 场景 的 访问 控制 需求 ， 访 问 控制 参考 模型 不 断 演变 ， 形 成 各 种 各 样 的 访问 
控制 模型 ， 主 要 有 自主 访问 控制 模型 、 强 制 访问 控制 模型 、 基 于 角色 的 访问 控制 模型 、 基 于 使 
用 的 访问 控制 模型 、 基 于 地 理 位 置 的 访问 控制 模型 、 基 于 属性 的 访问 控制 模型 、 基 于 行为 的 访 
问 控制 模型 、 基 于 时 态 的 访问 控制 模型 。 其 中 ， 自 主 访问 控制 模型 、 强 制 访问 控制 模型 、 基 于 
角色 的 访问 控制 模型 常用 于 操作 系统 、 数 据 库 系 统 的 资源 访问 ， 基 于 使 用 的 访问 控制 模型 则 用 
于 隐私 保护 、 敏 感 信息 安全 限制 、 知 识 产 权 保护 ， 基 于 地 理 位 置 的 访问 控制 模型 可 用 于 移动 互 
联网 应 用 授权 控制 ， 如 打车 服务 中 的 地 理 位 置 授权 使 用 ， 基 于 属性 的 访问 控制 是 一 个 新 兴 的 访 
问 控制 方法 , 其 主要 提供 分 布 式 网 络 环境 和 Web 服务 的 模型 访问 控制 ; 基于 行为 的 访问 控制 模 
型 根据 主体 的 活动 行为 ， 提 供 安 全 风险 的 控制 ， 如 上 网 行为 的 安全 管理 和 电子 支付 操作 控制 ; 
基于 时 态 的 访问 控制 模型 则 利用 时 态 作为 访问 约束 条 件 ， 增 强 访问 控制 细 粒 度 ， 如 手机 网 络 流 
量 包 的 限时 使 用 。 


7.3 访问 控制 类 型 


常用 的 访问 控制 类 型 主要 有 自主 访问 控制 、 强 制 访问 控制 、 基 于 角色 的 访问 控制 、 基 于 属 
性 的 访问 控制 。 下 面 详细 介绍 各 类 访问 控制 的 情况 。 
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7.3.1 自主 访问 控制 


自主 访问 控制 (Discretionary Access Control，DAC ) 是 指 客体 的 所 有 者 按照 自己 的 安全 策 
略 授予 系统 中 的 其 他 用 户 对 其 的 访问 权 。 目 前 ， 自 主 访问 控制 的 实现 方法 有 两 大 类 ， 即 基于 行 
的 自主 访问 控制 和 基于 列 的 自主 访问 控制 。 


1. 基于 行 的 自主 访问 控制 


基于 行 的 自主 访问 控制 方法 是 在 每 个 主体 上 都 附加 一 个 该 主体 可 访问 的 客体 的 明细 表 ， 根 据 表 
中 信息 的 不 同 又 可 分 成 三 种 形式 ， 即 能 力 表 (capability list) 、 前 缀 表 (profiles) 和 口令 (password) 。 

(1) 能 力 表 。 

能 力 是 访问 客体 的 钥匙 , 它 决定 用 户 能 否 对 客体 进行 访问 以 及 具有 何 种 访问 模式 ( 读 、 写 、 
执行 )。 拥 有 一 定 能 力 的 主体 可 以 按照 给 定 的 模式 访问 客体 。 

(2) 前 绥 表 。 

前 级 表 包 括 受 保护 客体 名 和 主体 对 它 的 访问 权限 。 当 主体 要 访问 某 客体 时 ， 自 主 访问 控制 
机 制 检查 主体 的 前 绥 是 否 具 有 它 所 请 求 的 访问 权 。 

(3) 口令 。 

在 基于 口令 机 制 的 自主 存 取 控制 机 制 中 ， 每 个 客体 都 相应 地 有 一 个 口令 。 主 体 在 对 客体 进 
行 访问 前 ， 必 须 向 系统 提供 该 客体 的 口令 。 如 果 正 确 ， 它 就 可 以 访问 该 客体 。 


2. 基于 列 的 自主 访问 控制 


基于 列 的 自主 访问 控制 机 制 是 在 每 个 客体 上 都 附加 一 个 可 访问 它 的 主体 的 明细 表 , 它 有 两 
种 形式 ， 即 保护 位 (protection bits) 和 访问 控制 表 (Access Control List，ACL) 。 

(1) 保护 位 。 

这 种 方法 通过 对 所 有 主体 、 主 体 组 以 及 客体 的 拥有 者 指明 一 个 访问 模式 集合 ,通常 以 比特 
位 来 表示 访问 权限 。UNIX/Linux 系统 就 利用 这 种 访问 控制 方法 。 

(2) 访问 控制 表 。 

访问 控制 表 简称 ACL, 它 是 在 每 个 客体 上 都 附加 一 个 主体 明细 表 ， 表示 访问 控制 矩阵 。 表 
中 的 每 一 项 都 包括 主体 的 身份 和 主体 对 该 客体 的 访问 权限 。 它 的 一 般 结构 如 图 7-4 所 示 。 


客体 filel:| ID1. rx ID2.r ID3.x ee IDn. rwx 


7-4 访问 控制 表 ACL 示例 


对 于 客体 fiel， 主 体 ID1 对 它 只 具有 读 (r) 和 运行 (x) 的 权力 ， 主 体 ID2 对 它 只 具有 读 
的 权力 ， 主 体 ID3 对 它 只 具有 运行 的 权力 ， 而 主体 IDn 则 对 它 同时 具有 读 、 写 和 运行 的 权力 。 
自主 访问 控制 是 最 常用 的 一 种 对 网 络 资源 进行 访问 约束 的 机 制 ， 其 好 处 是 用 户 自 己 根据 其 
安全 需求 ， 自 行 设置 访问 控制 权限 ， 访 问 机 制 简单 、 灵 活 。 但 这 种 机 制 的 实施 依赖 于 用 户 的 安 
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全 意识 和 技能 ， 不 能 满足 高 安全 等 级 的 安全 要 求 。 例 如 ， 网 络 用 户 由 于 操作 不 当 ， 将 敏感 的 文 
件 用 电子 邮件 发 送 到 外 部 网 ， 则 造成 泄密 事件 。 


7.3.2 强制 访问 控制 


强制 访问 控制 (Mandatory Access Control，MAC) 是 指 系统 根据 主体 和 客体 的 安全 属性 ， 
以 强制 方式 控制 主体 对 客体 的 访问 。 例如， 在 强制 访问 控制 机 制 下 ， 安 全 操作 系统 中 的 每 个 进 
程 、 每 个 文件 等 客体 都 被 赋予 了 相应 的 安全 级 别 和 范畴 ， 当 一 个 进程 访问 一 个 文件 时 ， 系 统 调 
用 强制 访问 控制 机 制 ， 当 且 仅 当 进 程 的 安全 级 别 不 小 于 客体 的 安全 级 别 ， 并 且 进 程 的 范畴 包含 
文件 的 范畴 时 ， 进 程 才能 访问 客体 ， 否 则 就 拒绝 。 

与 自主 访问 控制 相 比较 ， 强 制 访问 控制 更 加 严格 。 用 户 使 用 自主 访问 控制 虽然 能 够 防止 其 
他 用 户 非法 入 侵 自己 的 网 络 资源 ， 但 对 于 用 户 的 意外 事件 或 误 操作 则 无 效 。 因 此 ， 自 主 访问 控 
制 不 能 适应 高 安全 等 级 需求 。 在 政府 部 门 、 军 事 和 金融 等 领域 ， 常 利用 强制 访问 控制 机 制 ， 将 
系统 中 的 资源 划分 安全 等 级 和 不 同类 别 ， 然 后 进行 安全 管理 。 


7.3.3 基于 角色 的 访问 控制 


通俗 地 说 ， 角 色 (role) 就 是 系统 中 的 岗位 、 职 位 或 者 分 工 。 例 如 ， 在 一 个 医院 系统 中 
医生 、 护 士 、 药 剂 师 、 门 卫 等 都 可 以 视 为 角色 。 所 谓 基于 角色 的 访问 控制 (RBAC) 就 是 指 根 
据 完成 某 些 职责 任务 所 需要 的 访问 权限 来 进行 授权 和 管理 。RBAC 由 用 户 〈U) 、 角 色 (R) 、 
会 话 (S) 和 权限 (P) 四 个 基本 要 素 组 成 ， 如 图 7-5 所 示 。 

角色 层次 


ee 


图 7-5 基于 角色 的 访问 控制 示意 图 


在 一 个 系统 中 ， 可 以 有 多 个 用 户 和 多 个 角色 ， 用 户 与 角色 的 关系 是 多 对 多 的 关系 。 权 
限 就 是 主体 对 客体 的 操作 能 力 ， 这 些 操作 能 力 有 读 、 写 、 修 改 、 执 行 等 。 通 过 授权 ， 一 个 
角色 可 以 拥有 多 个 权限 ， 而 一 个 权限 也 可 以 赋予 多 个 角色 。 同 时 ， 一 个 用 户 可 以 扮演 多 个 
角色 ， 一 个 角色 也 可 以 由 多 个 用 户 承担 。 在 一 个 采用 RBAC 作为 授权 存 取 控制 的 系统 中 ， 
由 系统 管理 员 负责 管理 系统 的 角色 集合 和 访问 权限 集合 ， 并 将 这 些 权限 赋予 相应 的 角色 ， 
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然后 把 角色 映射 到 承担 不 同 工 作 职责 的 用 户 身 上 。RBAC 的 功能 相当 强大 、 灵 活 ， 适 用 于 
许多 类 型 的 用 户 需求 。 

目前 ，Windows NT、Windows 2000、Solaris 等 操作 系统 中 都 采用 了 类 似 的 RBAC 技术 。 
图 7-6 是 Windows 2000 用 户 授 权 策 略 示 意图 , Windows 2000 系统 将 操作 权限 分 成 多 种 类 型 ， 
如 关闭 系统 、 备 份 文件 、 管 理 系统 审核 和 安全 日 志 等 ， 然 后 系统 把 这 些 操作 权限 授予 不 同 
组 (类 似 角色 ) ， 如 备份 操作 员 (Backup Operators) 、 管 理 员 (Administrators) 、 账 户 操 
作 员 (Account Operators) 等 ， 当 系统 创建 一 个 用 户 时 ， 通 过 将 用 户 指定 到 某 个 组 来 实现 权 


限 的 授予 。 


EEIEEES33 


| 架 作 (8) 查看 || 全 十 | 加 | 四 | X 园 | 氏 
策略 / 本 地 设 有 有 效 设 和 
国 备 份 文件 和 目录 Backup Operators, Administrators Backup Operators, Administrators 
轿 产 生 实 全 审核 
创建 记号 对 象 
国 旬 于 全 局 对 象 Administrakors, SERVICE Administrators, SERVICE 
创建 页 面 交 Adrministrators Admngtrators 
轿 从 插 接 工作 站 中 取出 计算 机 Users, Power Users, Administrators Users, Power Users, Administrators 
项 从 网 络 访问 此 计算 机 ERCIST-S5Q9HPUONIUSR_ERCIST-S5Q9H,,.. ERCIST-55Q9HPUOVUSR_ERCIST-55Q9HPUO,*5-1-5-21-14624,，， 
从 远 病 系统 强制 关机 Adminetrators Administrators 
昌 PP 安 全 策略 ,在 本 t | 加 Adrministrators Administrators 
更 收 系统 时 间 Power Users, Administrators Power Users,Adrminestrators 
关闭 系统 Users,Power Users,Backup Operators, Ad.,, Users,Power Users,Backup Operators, Administrators 
管理 审核 和 安全 日 志 Administrators Admingtrators 
固 还 原文 件 和 目录 Bachup Operakors,Adminstrators Backup Operators, Adrministrators 
拒绝 本 地 登录 
| 疯 拒 绝 从 网络 访问 这 各 计算 机 
拒绝 作为 服务 苦 录 
拒绝 作为 批 作业 从 录 
国内 存 中 锁定 页 
区 配置 单一 进程 Power Users, Administrators Power Users,Administrators 
多 配 置 系统 性 能 Adminetrators Adminetrators 
辆 阳 文件 或 其 它 对 象 的 所 有 梭 Adminetrators Admngtrators 
固 身 份 验证 后 模拟 客户 六 Administrators, SERVICE Administrators,5ERVICE 
[8 萤 执 进程 三 记号 
加 配额 Administrators Administrators 
| 淆 由 过 遍历 检查 Everyone,Users,Power Users,Backup Op,., Everyone,Users,Power Users,Badaup Operators,Administrators 
同步 目录 服务 数据 
多 修改 固件 环境 值 Administrators Administrators 
本 以 折 作 系统 方式 光 作 


图 7-6 Windows 2000 用 户 授权 策略 示意 图 


7.3.4 基于 属性 的 访问 控制 


基于 属性 的 访问 控制 (Attribute Based Access Control) 简称 为 ABAC， 其 访问 控制 方法 是 
根据 主体 的 属性 、 客 体 的 属性 、 环 境 的 条 件 以 及 访问 策略 对 主体 的 请 求 操作 进行 授权 许可 或 拒 
绝 。 如 图 7-7 所 示 ， 当 主体 访问 受 控 的 资源 时 ， 基 于 属性 的 访问 控制 ABAC 将 会 检查 主体 的 属 
性 、 客 体 的 属性 、 环 境 条 件 以 及 访问 策略 ， 然 后 再 给 出 访问 授权 。 
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访问 策略 


主体 的 属性 容 体 的 属性 
图 7-7 基于 属性 的 访问 控制 示意 图 


7.4 访问 控制 策略 设计 与 实现 


访问 控制 机 制 的 实现 依赖 于 安全 策略 设计 ， 本 节 主 要 讲述 访问 控制 策略 的 需求 、 访 问 控制 
策略 的 常见 类 型 、 访 问 控制 的 规则 构成 等 内 容 。 


7.4.1 访问 控制 策略 


访问 控制 策略 用 于 规定 用 户 访问 资源 的 权限 ， 防 止 资源 损失 、 泄 密 或 非法 使 用 。 在 设计 访 
问 控制 策略 时 ， 一 般 应 考虑 下 面 的 要 求 : 

(1) 不 同 网 络 应 用 的 安全 需求 ， 如 内 部 用 户 访问 还 是 外 部 用 户 ; 

(2) 所 有 和 应 用 相关 的 信息 的 确认 ， 如 通信 端口 号 、 卫 地 址 等 ; 

(3) 网 络 信息 传播 和 授权 策略 ， 如 信息 的 安全 级 别 和 分 类 

(4) 不 同系 统 的 访问 控制 和 信息 分 类 策略 之 间 的 一 致 性 ; 

(5) 关于 保护 数据 和 服务 的 有 关 法 规 和 合同 义务 

(6) 访问 权限 的 更 新 和 维护 。 

访问 控制 策略 必须 指明 禁止 什么 和 允许 什么 ， 在 说 明 访 问 控制 规则 时 ， 应 做 到 以 下 几 点 

(1) 所 建立 的 规则 应 以 “未 经 明确 允许 的 都 是 禁止 的 ”为 前 提 ， 而 不 是 以 较 弱 的 原则 “未 
经 明确 禁止 的 都 是 允许 的 ”为 前 提 ; 

(2) 信息 标记 的 变化 ， 包 括 由 信息 处 理 设备 自动 引起 的 或 是 由 用 户 决定 引起 的 

(3) 由 信息 系统 和 管理 人 员 引 起 的 用 户 许可 的 变化 ; 

(4) 规则 在 颁布 之 前 需要 管理 人 员 的 批准 或 其 他 形式 的 许可 。 

总 而 言 之 ,一 个 访问 控制 策略 由 所 要 控制 的 对 象 、 访 问 控制 规则 、 用 户 权限 或 其 他 访问 安 
全 要 求 组 成 。 在 一 个 网 络 系统 中 ， 访 问 控制 策略 有 许多 ， 具 体 包 括 机 房 访问 控制 策略 、 拨 号 服 
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务 器 访问 控制 策略 、 路 由 器 访问 控制 策略 、 交 换 机 访问 控制 策略 、 防 火 墙 访问 控制 策略 、 主 机 
访问 控制 策略 、 数 据 库 访问 控制 策略 、 客 户 端 访问 控制 策略 、 网 络 服务 访问 控制 策略 等 。 
7.4.2 访问 控制 规则 


访问 控制 规则 实际 上 就 是 访问 约束 条 件 集 , 是 访问 控制 策略 的 具体 实现 和 表现 形式 。 目前 ， 
常见 的 访问 控制 规则 有 基于 用 户 身份 、 基 于 时 间 、 基 于 地 址 、 基 于 服务 数量 等 多 种 情况 ， 下 面 
分 别 介绍 主要 的 访问 控制 规则 。 


1. 基于 用 户 身份 的 访问 控制 规则 


基于 用 户 身 份 的 访问 控制 规则 利用 具体 的 用 户 身份 来 限制 访问 操作 , 通常 以 账号 名 和 口令 
表示 用 户 ， 当 用 户 输入 的 “账号 名 和 口令 ”都 正确 后 ， 系 统 才 允 许 用 户 访问 。 目 前 ， 操 作 系统 
或 网 络 设备 的 使 用 控制 都 采用 这 种 控制 规则 。 


2. 基于 角色 的 访问 控制 规则 


正如 前 面 所 说 ， 基 于 角色 的 访问 控制 规则 是 根据 用 户 完 成 某 项 任务 所 需要 的 权限 进行 
控制 的 。 

3. 基于 地 址 的 访问 控制 规则 

基于 地 址 的 访问 控制 规则 利用 访问 者 所 在 的 物理 位 置 或 逻辑 地 址 空间 来 限制 访问 操作 。 例 
如 , 重要 的 服务 器 和 网 络 设备 可 以 禁止 远程 访问 , 仅仅 允许 本 地 的 访问 , 这 样 可 以 增加 安全 性 。 
基于 地 址 的 访问 控制 规则 有 于 地 址 、 域 名 地 址 以 及 物理 位 置 。 


4. 基于 时 间 的 访问 控制 规则 


基于 时 间 的 访问 控制 规则 利用 时 间 来 约束 访问 操作 , 在 一 些 系 统 中 为 了 增加 访问 控制 的 适 
应 性 ， 增 加 了 时 间 因素 的 控制 。 例 如 ， 下 班 时 间 不 允许 访问 服务 器 。 


5. 基于 异常 事件 的 访问 控制 规则 


基于 异常 事件 的 访问 控制 规则 利用 异常 事件 来 触发 控制 操作 ， 以 避免 危害 系统 的 行为 进 一 
步 升级 。 例 如 ， 当 系统 中 的 用 户 登录 出 现 三 次 失败 后 ， 系 统 会 在 一 段 时 间 内 冻结 账户 。 

6. 基于 服务 数量 的 访问 控制 规则 

基于 服务 数量 的 访问 控制 规则 利用 系统 所 能 承受 的 服务 数量 来 实现 控制 。 例 如 ， 为 了 防范 
拒绝 服务 攻击 ， 网 站 在 服务 能 力 接近 某 个 闪 值 时 ， 暂 时 拒绝 新 的 网 络 访问 请 求 ， 以 保证 系统 正 


常 运行 。 
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7.5 ”访问 控制 过 程 与 安全 管理 


访问 控制 是 一 个 网 络 安全 控制 的 过 程 ， 本 节 主 要 介绍 访问 控制 实施 的 主要 步骤 、 最 小 特权 
管理 、 用 户 访问 管理 和 口令 安全 管理 。 


7.5.1 访问 控制 过 程 


访问 控制 的 目的 是 保护 系统 的 资产 ,防止 非法 用 户 进入 系统 及 合法 用 户 对 系统 资源 的 非法 
使 用 。 要 实现 访问 控制 管理 ， 一 般 需 要 五 个 步骤 ; 

第 一 步 ， 明 确 访问 控制 管理 的 资产 ， 例 如 网 络 系统 的 路 由 器 、Web 服务 等 ; 

第 二 步 ， 分 析 管理 资产 的 安全 需求 ， 例 如 保密 性 要 求 、 完 整 性 要 求 、 可 用 性 要 求 等 

第 三 步 ， 制 定 访问 控制 策略 ， 确 定 访问 控制 规则 以 及 用 户 权限 分 配 ; 

第 四 步 ， 实 现 访问 控制 策略 ， 建 立 用 户 访问 身份 认证 系统 ， 并 根据 用 户 类 型 授权 用 户 访问 
资产 ; 

第 五 步 ， 运 行 和 维护 访问 控制 系统 ， 及 时 调整 访问 策略 。 
7.5.2 最 小 特权 管理 


特权 〈Privilege) 是 用 户 超越 系统 访问 控制 所 拥有 的 权限 。 这 种 特权 设置 有 利于 系统 维护 
和 配置 ， 但 不 利于 系统 的 安全 性 。 例 如 ， 在 普通 的 UNIX 操作 系统 中 ， 超 级 用 户 的 口令 泄露 ， 
将 会 对 系统 造成 极 大 的 危害 。 因 此 ， 特 权 的 管理 应 按 最 小 化 机 制 ， 防 止 特权 误 用 。 最 小 特权 原 
则 (Principle of Least Privilege) 指 系统 中 每 一 个 主体 只 能 拥有 完成 任务 所 必要 的 权限 集 。 最 小 
特权 管理 的 目的 是 系统 不 应 赋予 特权 拥有 者 完成 任务 的 额外 权限 ， 阻 止 特 权 乱 用 。 为 此 ， 特 权 
的 分 配 原则 是 “ 按 需 使 用 (Needto Use) ”， 这 条 原则 保证 系统 不 会 将 权限 过 多 地 分 配给 用 户 ， 
从 而 可 以 限制 特权 造成 的 危害 。 例 如 , 安全 的 UNIX 超级 用 户 的 特权 分 解 为 若干 组 的 特权 子 集 ， 
然后 把 特权 子 集 赋 给 不 同 管理 员 ， 使 管理 员 只 具有 完成 其 任务 所 需 的 权限 ， 从 而 减少 因为 管理 
员 的 安全 事件 而 所 引起 的 损失 ， 同 时 也 能 防止 管理 员 滥用 权限 。 


7.5.3 用户 访问 管理 


为 了 防止 系统 的 非 授权 使 用 ， 对 系统 中 的 用 户 权限 应 进行 有 效 管理 。 例 如 BBS 网 站 、 各 
种 论坛 、FTP 站 点 、 电 子 邮 件 服务 、ISP 服务 等 都 实施 了 用 户 管理 。 用 户 管理 是 网 络 安全 管理 
的 重要 内 容 之 一 ， 其 主要 工作 包括 用 户 登 记 、 用 户 权限 分 配 、 访 问 记录 、 权 限 监 测 、 权 限 取消 、 
撤销 用 户 。 用 户 登 记 通常 又 称 为 注册 ， 当 用 户 在 系统 注册 成 功 后 ， 系 统 分 配给 用 户 唯一 的 标识 
号 (ID) 。 同 时 ， 系 统 会 授予 用 户 一 定 权限 ， 例 如 BBS 普通 账号 只 有 发 表 帖子 的 权限 ， 而 没有 
删除 他 人 帖子 的 权限 。 系 统 为 了 防止 用 户 滥用 权限 ， 对 用 户 访问 进行 审计 ， 并 定期 检查 ， 以 便 
及 时 阻止 非法 访问 。 例 如 ， 黑 客 总 是 试图 通过 匿名 FTP 账号 窃取 系统 的 口令 信息 ,或 者 利用 系 
统 漏洞 越权 操作 ,获取 FTP 站 点 的 管理 权 。 通 过 监测 FTP 访问 日 志 , 可 以 发 现 黑客 的 违规 访问 
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记录 ， 这 样 管理 员 就 可 以 取消 黑客 的 访问 权 ， 阻 断 黑客 的 攻击 。 用 户 管理 的 一 般 流程 如 图 7-8 
所 示 。 


用 户 身份 登记 


了 
访问 权限 申请 或 分 配 


1 
访问 权限 审查 


访问 权限 批准 与 分 配 


用 户 责任 确认 签字 ”| 


按 用 户 权限 ， 给 用 户 提供 服务 ] 


审计 用 户 访问 操作 | 


检查 异常 操作 或 违规 行为 
检查 用 户 账号 


是 否 有 违规 行 
为 或 多 余 账号 


撤销 用 户 事件 ， 如 
过 期 、 调 动 等 


警告 或 阻止 违规 行为 
或 取消 访问 权 


7-8 用 户 管理 流程 图 


7.5.4 “口令 安全 管理 


口令 是 当前 大 多 数 网 络 实施 访问 控制 进行 身份 鉴别 的 重要 依据 , 因此 , 口令 管理 尤为 重要 ， 
一 般 遵 守 以 下 原则 : 

。 ”口令 选择 应 至 少 在 8 个 字符 以 上 ， 应 选用 大 小 写字 母 、 数 字 、 特 殊 字符 组 合 

。 ”禁止 使 用 与 账号 相同 的 口令 ; 

。 更换 系统 默认 口令 ， 避 免 使 用 默认 口令 ; 

。 ”限制 账号 登录 次 数 ， 建 议 为 3 次 

。 ”禁止 共享 账号 和 口令 ; 

。 ”口令 文件 应 加 密 存 放 ， 并 只 有 超级 用 户 才能 读 取 ; 

。 ”禁止 以 明文 形式 在 网 络 上 传递 口令 ; 

。 ”口令 应 有 时 效 机 制 ， 保 证 经 常 更 改 ， 并 且 禁 止 重 用 口令 ; 

。 ”对 所 有 的 账号 运行 口令 破解 工具 ， 检 查 是 否 存在 弱 口 令 或 没有 口令 的 账号 。 
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7.6 访问 控制 主要 产品 与 技术 指标 
访问 控制 是 网 络 安全 普遍 采用 的 安全 技术 ， 其 产品 表现 形式 有 独立 系统 形态 、 功 能 模块 形 
态 、 专 用 设备 形态 。 本 节 阐 述 访问 控制 的 主要 产品 类 型 和 技术 指标 。 
7.6.1 访问 控制 主要 产品 
访问 控制 的 主要 产品 类 型 有 4A 系统 、 安 全 网 关 、 系 统 安全 增强 等 ， 下 面 分 别 进行 介绍 。 
1.4A 系统 


4A 是 指认 证 (Authentication) 、 授 权 (Authorization) 、 账 号 (Account) 、 审 计 (Audit) ， 
中 文 名 称 为 统一 安全 管理 平台 ， 平 台 集 中 提供 账号 、 认 证 、 授 权 和 审计 等 网 络 安 全 服务 。 该 产 
品 的 技术 特点 是 集成 了 访问 控制 机 制 和 功能 ， 提 供 多 种 访问 控制 服务 。 平 台 常 用 基于 角色 的 访 
问 控 制 方法 ， 以 便于 账号 授权 管理 。 


2. 安全 网 关 


安全 网 关 产 品 的 技术 特点 是 利用 网 络 数据 包 信息 和 网 络 安全 威胁 特征 库 ， 对 网 络 通信 
连接 服务 进行 访问 控制 。 这 类 产品 是 一 种 特殊 的 网 络 安全 产品 ， 如 防火 墙 、 统 一 威胁 管理 
(UTM) 等 。 


3. 系统 安全 增强 


系统 安全 增强 产品 的 技术 特点 是 通常 利用 强制 访问 控制 技术 来 增强 操作 系统 、 数 据 库 系统 
的 安全 ， 防 止 特权 滥用 。 如 Linux 的 安全 增强 系统 SELinux、Windows 操作 系统 加 固 等 。 


7.6.2 访问 控制 主要 技术 指标 
不 同 的 访问 控制 技术 产品 ， 其 技术 指标 有 所 差异 ， 但 其 共性 指标 主要 如 下 。 
1. 产品 支持 访问 控制 策略 规则 类 型 
一 般 来 说 ， 访 问 控制 策略 规则 类 型 多 ， 有 利于 安全 控制 细 化 和 灵活 授权 管理 。 
2. 产品 支持 访问 控制 规则 最 大 数量 
产品 受到 硬件 和 软件 的 资源 限制 ， 访 问 规则 的 数量 多 表示 该 产品 具有 较 高 的 控制 能 力 。 
3. 产品 访问 控制 规则 检查 速度 
访问 控制 规则 检查 速度 是 产品 的 主要 性 能 指标 ， 速 度 快 则 意味 着 产品 具有 较 好 的 性 能 。 
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4. 产品 自身 安全 和 质量 保障 级 别 
针对 产品 本 身 的 安全 所 采用 的 保护 措施 ， 产 品 防范 网 络 攻击 的 能 力 ， 产 品 所 达到 的 国家 信 
息 安全 产品 的 等 级 。 
7.7 访问 控制 技术 应 用 
访问 控制 技术 是 基本 的 网 络 安全 保护 措施 ， 本 节 分 析 访问 控制 技术 应 用 场景 类 型 ， 给 出 操 
作 系 统 、 文 件 服 务 、 网 络 通信 、Web 服务 、 应 用 系统 等 访问 控制 实施 参考 案例 。 
7.7.1 访问 控制 技术 应 用 场景 类 型 
按照 访问 控制 的 对 象 分 类 ， 访 问 控制 技术 的 主要 应 用 场景 类 型 如 下 。 
1. 物理 访问 控制 


主要 针对 物理 环境 或 设备 实体 而 设置 的 安全 措施 ， 一 般 包 括 门禁 系统 、 警 卫 、 个 人 证 件 、 
门 锁 、 物 理 安全 区 域 划分 。 


2. 网 络 访问 控制 


主要 针对 网 络 资源 而 采取 的 访问 安全 措施 ， 一 般 包 括 网 络 接 入 控制 、 网 络 通 信 连 接 控制 、 
网 络 区 域 划分 、 网 络 路 由 控制 、 网 络 节点 认证 。 


3. 操作 系统 访问 控制 


针对 计算 机 系统 资源 而 采取 的 访问 安全 措施 ， 例 如 文件 读 写 访问 控制 、 进 程 访问 控制 、 内 
存 访问 控制 等 。 


4. 数据 库 / 数 据 访问 控制 

针对 数据 库 系 统 及 数据 而 采取 的 访问 安全 措施 ， 例 如 数据 库 表 创建 、 数 据 生成 与 分 发 。 

S. 应 用 系统 访问 控制 

针对 应 用 系统 资源 而 采取 的 访问 安全 措施 ， 例 如 业务 执行 操作 、 业 务 系统 文件 读 取 等 。 
7.7.2 UNIX/Linux 系统 访问 控制 应 用 参考 


普通 的 UNIX、Linux 等 系统 中 ， 实 现 自主 访问 控制 技术 的 基本 方法 是 在 每 个 文件 上 使 用 
“9 比特 位 模式 ”来 标识 访问 控制 权限 信息 ， 这 些 二 进 制 位 标识 了 “文件 的 拥有 者 、 与 文件 拥有 
者 同 组 的 用 户 、 其 他 用 户 ” 对 文件 所 具有 的 访问 权限 和 方式 ， 如 表 7-1 所 示 。 
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表 7-1 UNIX/Linux 访问 权限 和 方式 


同 组 用 户 group 


他 用 户 other 

表 中 , r 表示 “ 读 ” 权 限 ，w 表示 “ 写 ” 权 限 ，x 表示 “执行 ”权限 。 

。 ”owner 表示 此 客体 的 拥有 者 对 它 的 访问 权限 ; 

。 group 表示 owner 同 组 用 户 对 此 客体 的 访问 权限 ; 

。 other 表示 其 他 用 户 对 此 客体 的 访问 权限 。 

如 图 7-9 所 示 ，Linux 普通 用 户 spring 可 以 读 取 文件 /etc/passwd 的 内 容 ， 而 无 法 执行 ， 只 
有 root 用 户 才 有 读 和 写 访问 权限 。 


nonitor -1ab spring]$ 


图 7-9 Linux 文件 /etc/passwd 权限 控制 图 


7.7.3 Windows 访问 控制 应 用 参考 


Windows 用 户 登 录 到 系统 时 ，WinLogon 进程 为 用 户 创建 访问 令 牌 ， 包 含 用 户 及 所 属 组 的 
安全 标识 符 〈SID ) ， 作 为 用 户 的 身份 标识 。 文 件 等 客体 则 含有 自主 访问 控制 列表 (DACL) ， 
标明 谁 有 权 访问 ， 还 含有 系统 访问 控制 列表 (SACL) ， 标 明 哪 些 主体 的 访问 需要 被 记录 。 用 
户 进程 访问 客体 对 象 时 ， 通 过 WIN32 子 系统 向 核心 请 求 访问 服务 ， 核 心 的 安全 参考 监视 器 
(CSRM) 将 访问 令 牌 与 客体 的 DACL 进行 比较 ， 决 定 客体 是 否 拥有 访问 权限 ， 同 时 检查 客体 的 
SACL， 确 定 本 次 访问 是 否 落 在 既定 的 审计 范围 内 ， 是 则 送 至 审计 子 系统 。 整 体 过 程 如 图 7-10 
所 示 。 
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户 进程 
| 访问 请 求 
NTWin32 |- 许可 请 求 ,| 安全 参考 


了 系统 氢 邓 评 林 | 监视 器 SRM 


[< 
执行 访问 检查 客体 SACL 
客体 对 象 审计 


图 7-10 Windows 2000 访问 控制 示意 图 


审计 数据 如 图 7-11 所 示 ， 这 是 Windows 2000 事件 查看 器 中 列 出 的 部 分 登录 事件 ， 其 中 用 
户 rde 的 一 次 登录 失败 。 


[Be log FRered viow showng 3 of 4 evertts) 


Success Ad 2000-4-29 20:18-55 JOHNDON 


JIOHNDOON 
JorNDON 
上 
让 二 = 二 De t Byest Wode 一 一 一 
一 =] 


图 7-11 Windows 2000 登录 失败 事件 图 


7.7.4 1IS FTP 访问 控制 应 用 参考 


IS FTP 服务 器 自身 提供 了 三 种 访问 限制 技术 手段 ， 实 现 用 户 账号 认证 、 匿 名 访问 控制 以 
及 也 地址 限制 。 


1. 匿名 访问 控制 设置 
匿名 访问 控制 设置 如 图 7-12 所 示 。 
2.FTP 的 目录 安全 性 设置 


FTP 用 户 仅 有 两 种 目录 权限 : 读 取 和 写 入 。 读 取 权 限 对 应 下 载 能 力 ， 而 写 入 权限 对 应 上 传 能 
力 。FTP 站 点 的 目录 权限 对 所 有 的 FTP 用 户 都 有 效 ， 即 如 果 某 一 个 目录 设置 了 读 取 权 限 ， 则 任何 
FTP 用 户 都 只 有 下 载 文件 能 力 ， 而 没有 上 传 文件 能 力 。FTP 的 目录 安全 性 设置 如 图 7-13 所 示 。 
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JITP 站 点 安全 帐号 | 消息 | 主 目录 | 目录 安全 性 | FT 站 点 | 安全 帐号 | 消息 三 目标 目录 安全 性 | 
SEE | 连接 到 | 此 机 源 时 ， 内容 应 该 末 自 于 - 
思拓 名 访问 此 资源 时 使 用 的 Windovs 用 户 由 号 个 此 i 算 机 上 的 目录 
用 PS WD: [RTT ee 
ED Fr 本 培 路 径 @): [Vinetpub\ftp  。 _ 测 史 全 | 
厂 只 克 放 匿名 连接 CW 
万 区 省 TS 近 制 码 旬 CAV 
Ny 所 昌 志 访问 四 
只 在 此 FTP 站 去 将 操作 珊 权 限 其 闻 Windows 用 户 及 号 ， 
| C wn) 
操作 怠 加 inistraters 十 | ww 
| 
Ca ]_ wm | pw | ww | 已 本 DJ_ |_| 一 
图 7-12 匿名 访问 控制 设置 示意 图 图 7-13 目录 权限 设置 示意 图 


7.7.5 网 络 访问 控制 应 用 参考 


网 络 访问 控制 是 指 通过 一 定 技术 手段 实现 网 络 资源 操作 限制 ， 使 得 用 户 只 能 访问 所 规定 的 
资源 ， 如 网 络 路 由 器 、 网 络 通信 、 网 络 服务 等 。 下 面 举例 说 明 网 络 访问 控制 实现 方式 。 


1. 网 络 通信 连接 控制 


网 络 通信 连接 控制 常 利用 防火 墙 、 路 由 器 、 网 关 等 来 实现 ， 通 常 将 这 些 设备 放 在 两 个 不 同 
的 通信 网 络 的 连接 处 ， 使 得 所 有 的 通信 流 都 经 过 通信 连接 控制 器 ， 只 有 当 通 信 流 符合 访问 控制 
规则 时 ， 才 允许 通信 正常 进行 。 图 7-14 是 网 络 通信 连接 控制 配置 图 。 


El 
[TNF 
EE td 
A 
网 关 路 由 器 。 防火 墙 内 网 路 由 器 


图 7-14 网 络 通信 连接 访问 控制 配置 示意 图 


2. 基于 VLAN 的 网 络 隔离 


根据 网 络 的 功能 和 业务 用 途 ， 将 网 络 划分 为 若干 个 小 的 子 网 (网 段 ，， 或 者 是 外 部 网 和 内 
部 网 ， 以 避免 各 网 之 间 多 余 的 信息 交换 。 例 如 ， 通 过 VLAN 技术 ， 可 以 把 处 于 不 同 物理 位 置 的 
节点 ， 按 照 业务 需要 组 成 不 同 的 逻辑 子 网 。 采 用 VLAN 技术 ， 不 仅 可 以 防止 广播 风暴 的 产生 ， 
而 且 也 能 提高 交换 式 网 络 的 整体 性 能 和 安全 性 。 


7.7.6 ”Web 服务 访问 控制 应 用 参考 


目前 ，Web 服务 访问 控制 基本 流程 如 图 7-15 所 示 。 


数据 库 系 统 权 限 


HTTP 服 务 访问 请 求 


客户 的 IP 地 址 或 DNS 域 是 否 允许 ? 


Web 用 户 是 否 允 许 访问 ? 


是 


文件 系统 权限 是 否 人 允许 访问 ? 


和 


是 


是 
授权 访问 


图 7-15 Web 服务 访问 控制 机 制 的 实现 流程 


是 否 允 许 访 问 ? 
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访问 拒绝 


蕊 


蕊 


Web 服务 访问 控制 机 制 可 由 网 络 通信 、 用 户 身 份 认证 、 操 作 系 统 、 数 据 库 等 多 个 访问 控制 
环节 来 实现 ， 各 种 访问 都 有 不 同 的 技术 来 实现 。 网 络 通信 既 可 以 通过 路 由 器 、 防 火 墙 来 实现 ， 
也 可 以 使 用 Web 服务 器 自身 的 访问 控制 来 实现 。 用 户 身 份 认证 可 以 通过 用 户 / 口 令 、 证 书 来 实 
现 。 操 作 系 统 、 数 据 库 、Web 服务 器 都 有 自身 所 带 的 访问 控制 技术 。 其 中 ，Web 服务 器 可 基于 


限定 也 地址 、 人 P 网 段 或 域名 来 实现 Web 资源 的 访问 控制 。 


以 Apache httpd 的 服务 器 为 例 ， 假 设 要 保护 /secret 目录 资源 ， 只 有 特定 卫 地址、IP 子 网 
或 域名 可 以 访问 ， 则 需要 在 access.conf 中 加 一 个 类 似 下 面 的 目录 控制 段 。 


<Directory /full/path/to/secret> 


<Limit GET 


POST> 


deny from all 


allow from 
allow from 
</Limit> 


</Directory> 


县 < 壮 。 交 


a.b.c.d 


XXX .XXX .XXX 。 cn 
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7.7.7 ”基于 角色 管理 的 系统 访问 控制 应 用 参考 


本 应 用 参考 选 自 IBM 开发 社区 提供 的 方案 。 该 方案 针对 系统 管理 员 权 限 管理 工作 ， 实 现 
既 可 集中 管理 又 可 分 散 管理 的 目标 。 该 方案 采用 基于 角色 的 访问 控制 技术 。 如 图 7-16 所 示 , 首 
先是 权限 被 分 配 到 相应 的 角色 ， 然 后 ， 角 色 委派 给 用 户 ， 从 而 动态 产生 主体 能 力 表 ， 即 主体 所 
拥有 的 权限 。 最 后 ， 对 主体 权限 进行 审查 ， 确 认 和 修订 无 误 后 ， 最 终 赋 予 主体 所 拥有 的 权限 集 ， 


即 能 力 表 。 
国 软件 构件 
系统 控制 数据 


可 控制 系统 对 象 
定义 | 六 


使 用 数据 
权限 数据 登录 用 户 | 用 户 组 
用 数据 便 用 
使 用 数据 2 
配 权 角 色 用 户 加 入 到 组 
产生 
动态 产生 主体 能 力 表 重新 委派 


角色 定义 工具 


权限 配置 


没有 通过 审查 
重新 审查 
通过 审查 


动态 产生 修改 后 主体 能 力 表 


动态 产生 最 终 主 体能 力 表 


7-16 基于 角色 的 权限 分 配 过 程 


7.7.8 ”网络 安 全 等 级 保护 访问 控制 设计 应 用 参考 
访问 控制 是 网 络 安全 等 级 保护 对 象 的 重要 安全 机 制 。 本 应 用 参考 选 自 《信息 安全 技术 “网 
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络 安 全 等 级 保护 安全 设计 技术 要 求 (GB/T 25070 一 2019) 》。 等 级 保护 对 象 的 自主 访问 控制 结 
构 和 强制 访问 控制 结构 设计 参考 如 下 。 


1. 自主 访问 控制 结构 


等 级 保护 对 象 系统 在 初始 配置 过 程 中 ， 安 全 管理 中 心 首先 对 系统 中 的 主体 及 客体 进行 登 
记 命 名 ， 然 后 根据 自主 访问 控制 安全 策略 ， 按 照 主体 对 其 创建 客体 的 授权 命令 ， 为 相关 主体 
授权 ， 规 定 主体 允许 访问 的 客体 及 操作 ， 并 形成 访问 控制 列表 。 自 主 访问 控制 结构 如 图 7-17 
所 示 。 


执行 程序 主体 请 求 访问 客体 
ee 请 求 ] 执行 返回 


用 户 用 户 组 
主体 访问 权限 | 获取 i 
和 全 | 符合 从 


访问 操作 | 一 > 


用 户 请 求 定制 策略 设置 


用 户 身 份 和 授权 管理 审计 管理 
安全 管理 中 心 


图 7-17 自主 访问 控制 结构 过 程 


2. 强制 访问 控制 结构 


等 级 保护 对 象 系统 在 初始 配置 过 程 中 ,安全 管理 中 心 对 系统 的 主体 及 其 所 控制 的 客体 实施 
身份 管理 、 标 记 管 理 、 授 权 管理 、 策 略 管理 。 身 份 管理 确定 系统 中 所 有 合法 用 户 的 身份 、 工 作 
密 钥 、 证 书 等 与 安全 相关 的 内 容 。 标 记 管 理 根据 业务 系统 的 需要 ， 结 合 客体 资源 的 重要 程度 ， 
确定 系统 中 所 有 客体 资源 的 安全 级 别 和 范畴 ， 生 成 全 局 客体 安全 标记 列表 ; 同时 ， 根 据 用 户 在 
业务 系统 中 的 权限 和 角色 确定 主体 的 安全 级 别 和 范畴 ， 生 成 全 局 主体 安全 标记 列表 。 授 权 管 理 
根据 业务 系统 需求 和 安全 状况 ， 授 予 用 户 〈 主 体 ) 访问 资源 〈 客 体 ) 的 权限 ， 生 成 强制 访问 控 
制 策略 和 级 别 调整 策略 列表 。 策 略 管理 则 根据 业务 系统 的 需求 ， 生 成 与 执行 主体 相关 的 策略 ， 
包括 强制 访问 控制 策略 和 级 别 调整 策略 。 除 此 之 外 ， 安 全 审计 员 需 要 通过 安全 管理 中 心 制定 系 
统 审计 策略 ， 实 施 系统 的 审计 管理 。 强 制 访问 控制 结构 如 图 7-18 所 示 。 
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| 热 行程 序 主体 请 求 访问 客体 
| 执行 上 拒绝 


返回 返回 


级 别 调 
整 检 查 / >| 审计 
强制 访问 
控制 执行 
客体 强制 访问 级 别 调整 
/客体 名 /标记 /-- 控制 策略 策略 
n 
昌 户 身份 管理 标记 管理 、 授 权 管 理 、 策 略 管理 | 。 审计 管理 
安全 管理 中 心 


图 7-18 强制 访问 控制 结构 过 程 


7.8 ”本章 小 结 


本 章 首 先 介绍 了 访问 控制 的 目标 、 概 念 以 及 访问 控制 相关 模型 , 并 分 别 阐述 自主 访问 控制 、 
强制 访问 控制 、 基 于 角色 的 访问 控制 、 基 于 属性 的 访问 控制 等 技术 特点 ; 然后 还 介绍 了 访问 控 
制 策略 和 访问 控制 规则 ， 最 后 给 出 了 访问 控制 技术 产品 、 应 用 场景 和 实际 应 用 参考 案例 。 
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8.1 防火 墙 概述 


防火 墙 是 网 络 安全 区 域 边界 保护 的 重要 技术 ， 本 节 主 要 阐述 防火 墙 的 基本 概念 、 防 火 墙 工 
作 原 理 、 防 火 墙 安全 风险 ， 并 分 析 防 火 墙 技术 的 发 展 趋势 。 


8.1.1 防火 墙 概念 


目前 ， 各 组 织 机 构 都 是 通过 便利 的 公共 网 络 与 客户 、 合 作 伙 伴 进行 信息 交换 的 ， 但 是 , 一 
些 敏感 的 数据 有 可 能 泄露 给 第 三 方 ， 特 别 是 连 上 因特网 的 网 络 将 面临 黑客 的 攻击 和 入 侵 。 为 了 
应 对 网 络 威胁 ， 联 网 的 机 构 或 公司 将 自己 的 网 络 与 公共 的 不 可 信任 的 网 络 进行 隔离 ， 其 方法 是 
根据 网 络 的 安全 信任 程度 和 需要 保护 的 对 象 ， 人 为 地 划分 若干 安全 区 域 ， 这 些 安全 区 域 有 

。 ”公共 外 部 网 络 ， 如 Intemet; 

。 ”内 联网 (Intranet) ， 如 某 个 公司 或 组 织 的 专用 网 络 ， 网 络 访问 限制 在 组 织 内 部 

。 ”外 联网 (Extranet) ， 内 联网 的 扩展 延伸 ， 常 用 作 组 织 与 合作 伙伴 之 间 进 行 通信 ; 

。 ”军事 缓冲 区 域 , 简称 DMZ, 该 区 域 是 介 于 内 部 网 络 和 外 部 网 络 之 间 的 网 络 段 , 常 放置 

公共 服务 设备 ， 向 外 提供 信息 服务 。 

在 安全 区 域 划分 的 基础 上 ， 通 过 一 种 网 络 安全 设备 ， 控 制 安全 区 域 间 的 通信 ， 可 以 隔离 有 
害 通 信 ， 进 而 阻 断 网 络 攻击 。 这 种 安全 设备 的 功能 类 似 于 防火 使 用 的 墙 ， 因 而 人 们 就 把 这 种 安 
全 设备 俗称 为 “防火 墙 ”， 它 一 般 安 装 在 不 同 的 安全 区 域 边界 处 ， 用 于 网 络 通信 安全 控制 ， 由 
专用 硬件 或 软件 系统 组 成 。 


8.1.2 防火墙 工 作 原 理 


防火 墙 是 由 一 些 软 、 硬 件 组 合 而 成 的 网 络 访问 控制 器 ， 它 根据 一 定 的 安全 规则 来 控制 流 过 
防火 墙 的 网 络 包 ， 如 禁止 或 转发 ， 能 够 屏蔽 被 保护 网 络 内 部 的 信息 、 拓 扑 结构 和 运行 状况 ， 从 
而 起 到 网 络 安全 屏障 的 作用 。 防 火 墙 一 般 用 来 将 内 部 网 络 与 因特网 或 者 其 他 外 部 网 络 互 相隔 


离 ， 限 制 网 络 互 访 ， 保 护 内 部 网 络 的 安全 ， 如 图 8-1 所 示 。 


外 部 网 络 
路 由 器 防火 墙 


8-1 防火 墙 部 署 安装 示意 图 
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防火 墙根 据 网 络 包 所 提供 的 信息 实现 网 络 通信 访问 控制 : 如 果 网 络 通 信 包 符合 网 络 访问 控 
制 策略 ， 就 允许 该 网 络 通信 和 包 通 过 防火 墙 ， 否 则 不 允许 ， 如 图 8-2 所 示 。 防 火 墙 的 安全 策略 有 
两 种 类 型 : 

(1) 白 名 单 策 略 : 只 允许 符合 安全 规则 的 包 通 过 防火 墙 ， 其 他 通信 和 包 禁 止 

(2) 黑 名 单 策略 : 禁止 与 安全 规则 相 冲 突 的 包 通 过 防火 墙 ， 其 他 通信 和 包 都 允许 。 

内 部 网 络 外 部 网 络 
受到 禁止 的 通信 流 


通信 被 禁止 ， 不 符合 安全 规则 


允许 通过 的 通信 流 到 外 网 通信 
> 允许 
未 知 通 信 
禁止 ， 只 有 符合 安全 通信 
规则 才 允 许 通过 有 
访问 指定 资源 规定 允许 通信 
人 人 个 一 


图 8-2 防火 墙 工作 示意 图 


防火 墙 简单 的 可 以 用 路 由 器 、 交 换 机 实现 ， 复 杂 的 就 要 用 一 台 计 算 机 ， 甚 至 一 组 计算 机 
实现 。 按 照 TCP/IP 协议 层次 ， 防 火 墙 的 访问 控制 可 以 作用 于 网 络 接口 层 、 网 络 层 、 传 输 层 、 
应 用 层 , 首先 依据 各 层 所 包含 的 信息 判断 是 否 遵循 安全 规则 ， 然 后 控制 网 络 通信 连接 ,如 禁止 、 
人 允许。 防火 墙 简化 了 网 络 的 安全 管理 。 如 果 没 有 它 ， 网 络 中 的 每 个 主机 都 处 于 直接 受 攻击 的 范 
围 之 内 。 为 了 保护 主机 的 安全 ， 就 必须 在 每 台 主机 上 安装 安全 软件 ， 并 对 每 台 主机 都 要 定时 检 
查 和 配置 更 新 。 归 纳 起 来 ， 防 火 墙 的 功能 主要 有 以 下 几 个 方面 。 

。 ”过 滤 非 安全 网 络 访问 。 将 防火 墙 设置 为 只 有 预先 被 允许 的 服务 和 用 户 才 能 通过 防火 

墙 ， 禁 止 未 授权 的 用 户 访问 受 保护 的 网 络 ， 降 低 被 保护 网 络 受 非法 攻击 的 风险 。 

。 ”限制 网 络 访问 。 防 火 墙 只 允许 外 部 网 络 访问 受 保护 网 络 的 指定 主机 或 网 络 服务 ， 通 常 
受 保护 网 络 中 的 Mail、FTP、WWW 服务 器 等 可 让 外 部 网 访问 ， 而 其 他 类 型 的 访问 则 
予以 禁止 。 防 火 墙 也 用 来 限制 受 保护 网 络 中 的 主机 访问 外 部 网 络 的 某 些 服务 ， 例 如 某 
些 不 良 网 址 。 

。 ”网 络 访问 审计 。 防 火 墙 是 外 部 网 络 与 受 保护 网 络 之 间 的 唯一 网 络 通道 ， 可 以 记录 所 有 
通过 它 的 访问 ， 并 提供 网 络 使 用 情况 的 统计 数据 。 依 据 防火 墙 的 日 志 ， 可 以 掌握 网 络 
的 使 用 情况 ， 例 如 网 络 通信 带宽 和 访问 外 部 网 络 的 服务 数据 。 防 火 墙 的 日 志 也 可 用 于 
入 侵 检测 和 网 络 攻击 取证 。 

。 ”网 络 带宽 控制 。 防火墙 可 以 控制 网 络 带宽 的 分 配 使 用 ， 实 现 部 分 网 络 质量 服务 (QoS) 

保障 。 
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。 ”协同 防御 。 防 火 墙 和 入 侵 检测 系统 通过 交换 信息 实现 联动 ， 根 据 网 络 的 实际 情况 配置 
并 修改 安全 策略 ， 增 强 网 络 安全 。 


8.1.3 ”防火 墙 安全 风险 


尽管 防火 墙 有 许多 防范 功能 ， 但 也 有 一 些 力 不 能 及 的 地 方 。 采 用 防火 墙 安全 措施 的 网 络 仍 
然 存在 以 下 网 络 安全 风险 。 

(1) 网 络 安全 旁 路 。 防 火 墙 只 能 对 通过 它 的 网 络 通信 包 进行 访 问 控制 ， 而 未 经 过 它 的 网 络 
通信 就 无 能 为 力 。 例 如 ， 如 果 人 允许 从 内 部 网 络 直接 拨号 访问 外 部 网 ， 则 防火 墙 就 失效 ， 攻 击 者 
通过 用 户 拨号 连接 直接 访问 内 部 网 ， 绕 过 防火 墙 控制 ， 造 成 潜在 的 攻击 途径 。 

(2) 防火 墙 功能 缺陷 ， 导 致 一 些 网 络 威胁 无 法 阻 断 。 防 火 墙 的 安全 功能 存在 脆弱 点 ， 使 得 
一 些 网 络 安全 威胁 可 以 通过 防火 墙 的 安全 规则 控制 ， 主 要 安全 缺陷 如 下 。 

。 防火 墙 不 能 完全 防止 感染 病毒 的 软件 或 文件 传输 。 防 火 墙 是 网 络 通信 的 瓶颈 ， 因 为 已 

有 的 病毒 、 操 作 系统 以 及 加 密 和 压缩 二 进 制 文件 的 种 类 太 多 ， 以 致 不 能 指望 防火 墙 逐 
个 扫描 每 个 文件 查找 病毒 ， 只 能 在 每 台 主机 上 安装 反 病毒 软件 。 

。 防火墙 不 能 防止 基于 数据 驱动 式 的 攻击 。 当 有 些 表面 看 来 无 害 的 数据 被 邮寄 或 复制 到 

主机 上 并 被 执行 而 发 起 攻击 时 ， 就 会 发 生 数 据 驱动 攻击 效果 。 防 火 墙 对 此 无 能 为 力 。 

。 防火 墙 不 能 完全 防止 后 门 攻 击 。 防 火 墙 是 粗 粒 度 的 网 络 访问 控制 ， 某 些 基于 网 络 隐蔽 

通道 的 后 门 能 绕 过 防火 墙 的 控制 。 例 如 http tunnel 等 。 

(3) 防火 墙 安 全 机 制 形成 单 点 故障 和 特权 威胁 。 防 火 墙 处 于 不 同 网 络 安全 区 域 之 间 ， 所 有 
区 域 之 间 的 通信 都 经 过 防火 墙 ， 受 其 控制 ， 从 而 形成 安全 特权 。 一 旦 防火 墙 自身 的 安全 管理 失 
效 ， 就 会 对 网 络 造成 单 点 故障 和 网 络 安全 特权 失控 。 

(4) 防火 墙 无 法 有 效 防范 内 部 威胁 。 处 于 防火 墙 保护 的 内 网 用 户 一 旦 操作 失误 ， 网 络 攻击 
者 就 能 利用 内 部 用 户 发 起 主动 网 络 连接 ， 从 而 可 以 躲避 防火 墙 的 安全 控制 。 

(5) 防火 墙 效用 受 限于 安全 规则 。 防 火 墙 依赖 于 安全 规则 更 新 ， 特 别 是 采用 黑 名 单 策略 的 
防火 墙 ， 一 旦 安全 规则 更 新 不 及 时 ， 极 易 导 致 防火 墙 的 保护 功能 失效 。 


8.1.4 ”防火 墙 发 展 


防火 墙 作 为 网 络 安全 的 基础 控制 措施 ， 其 技术 不 断 发 展演 变 ， 主 要 表现 为 以 下 几 个 方面 。 

(1) 防火 墙 控 制 粒度 不 断 细 化 。 控 制 规则 从 以 前 的 下 包 地 址 信息 延伸 到 也 包 的 内 容 。 

(2) 检查 安全 功能 持续 增强 。 检 测 人 P 包 内 容 越 来 越 细 ，DPI (Deep Packet Inspection) 应 
用 于 防火 墙 。 

(3) 产品 分 类 更 细 化 。 针 对 保护 对 象 的 定制 安全 需求 ， 出 现 专用 防火 墙 设备 。 如 工控 防火 
墙 、Web 防火 墙 、 数 据 库 /数据 防火 墙 等 。 

(4) 智能 化 增强 。 通 过 网 络 安全 大 数据 和 人 工 智 能 技术 的 应 用 ， 防 火 墙 规则 实现 智能 化 
更 新 。 
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8.2 防火墙 类 型 与 实现 技术 


按照 防火 墙 的 实现 技术 及 保护 对 象 , 常见 的 防火 墙 类 型 可 分 为 包 过 滤 防 火 墙 、 代 理 防火 墙 、 
下 一 代 防 火 墙 、Web 应 用 防火 墙 、 数 据 库 防 火 墙 、 工 控 防 火 墙 。 防 火 墙 的 实现 技术 主要 有 包 过 
滤 、 状 态 检测 、 应 用 服务 代理 、 网 络 地 址 转换 、 协 议 分 析 、 深 度 包 检查 等 。 


8.2.1 包 过 滤 


包 过 滤 是 在 他 层 实现 的 防火 墙 技术 ， 包 过 滤 根 据 包 的 源 瑟 地 址 、 目 的 瑟 地 址 、 源 端口 、 
目的 端口 及 包 传 递 方向 等 包头 信息 判断 是 否 允许 包 通 过 。 此 外 ， 还 有 一 种 可 以 分 析 包 中 的 数据 
区 内 容 的 智能 型 包 过 滤器 。 基 于 包 过 滤 技 术 的 防火 墙 ， 简 称 为 包 过 滤 型 防火 墙 (Packet Filter) ， 
其 工作 机 制 如 图 8-3 所 示 。 


根据 安全 规则 〈( 源 全 地 址 / 

目标 人 P 地 址 、 端 口 协议 

类 型 ) 对 网 络 通 过 滤 
控制 (允许 或 禁止 》 


输入 的 网 络 通信 流 允许 输出 的 网 络 通 信 流 


8-3 包 过 滤 工 作 机 制 


目前 ， 包 过 滤 是 防火 墙 的 基本 功能 之 一 。 多 数 现代 的 卫 路 由 软件 或 设备 都 支持 包 过 滤 功 
能 ， 并 默认 转发 所 有 的 包 。ipf、ipfw、ipfwadm 都 是 常用 的 自由 过 滤 软 件 ， 可 以 运行 在 Linux 
操作 系统 平台 上 。 包 过 滤 的 控制 依据 是 规则 集 ， 典 型 的 过 滤 规 则 表示 格式 由 “规则 号 、 匹 配 条 
件 、 匹 配 操作 ”三 部 分 组 成 , 包 过 滤 规 则 格式 随 所 使 用 的 软件 或 防火 墙 设备 的 不 同 而 略 有 差异 ， 
但 一 般 的 包 过 滤 防 火 墙 都 用 源 瑟 地 址 、 目 的 卫 地 址 、 源 端口 号 、 目 的 端口 号 、 协 议 类 型 (UDP、 
TCP、ICMP) 、 通 信 方 向 、 规 则 运算 符 来 描述 过 滤 规 则 条 件 。 而 匹配 操作 有 拒绝 、 转 发 、 审 计 
三 种 。 表 8-1 是 包 过 滤 型 防火 墙 的 通用 实例 ， 该 规则 的 作用 在 于 只 允许 内 、 外 网 的 邮件 通信 ， 
其 他 的 通信 都 禁止 。 
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表 8-1 防火 墙 过 滤 规则 


源 IP 目标 IP 源 端 口 
外 部 内 部 过 1024 


内 部 25 


内 部 


外 部 


包 过 滤 型 防火 墙 对 用 户 透明 ， 合 法 用 户 在 进出 网 络 时 ， 感 觉 不 到 它 的 存在 ， 使 用 起 来 很 方 
便 。 在 实际 网 络 安全 管理 中 ， 包 过 滤 技 术 经 常用 来 进行 网 络 访问 控制 。 下 面 以 Cisco IOS 为 例 ， 
说 明 包 过 滤器 的 作用 。Cisco IOS 有 两 种 访问 规则 形式 ， 即 标准 正 访问 表 和 扩展 下 访问 表 ， 它 
们 的 区 别 主要 是 访问 控制 的 条 件 不 一 样 。 标 准 下 访问 表 只 是 根据 人 P 包 的 源 地 址 进行 ， 标 准 他 
访问 控制 规则 的 格式 如 下 : 


access-list list-number{deny|permit}source[source-wildcard] [log] 


而 扩展 于 访问 控制 规则 的 格式 是 : 


access-list list-number{deny|permit}protocol 


其 中 : 


source source-wildcard source-qualifiers 


aestination destination-wildcard destination-qualifiers[log|log-input] 


标准 卫 访问 控制 规则 的 list-number 规定 为 1 一 99， 而 扩展 卫 访问 控制 规则 的 
list-number 规定 为 100 一 199; 

deny 表示 若 经 过 Cisco IOS 过 滤器 的 包 条 件 不 匹配 ， 则 禁止 该 包 通过 ; 

permit 表示 若 经 过 Cisco IOS 过 滤器 的 包 条 件 匹 配 ， 则 允许 该 包 通 过 ; 

source 表示 来 源 的 也 地 址 ; 

source-wildcard 表示 发 送 数 据 包 的 主机 人 P 地 址 的 通配符 掩 码 ， 其 中 1 代表 “忽略 ”， 
0 代表 “需要 匹配 ”，any 代表 任何 来 源 的 下 包 ; 

destination 表示 目的 他 地 址 ; 

destination-wildcard 表示 接收 数据 包 的 主机 卫 地 址 的 通配符 掩 码 ; 

protocol 表示 协议 选项 ， 如 耳 、ICMP、UDP、TCP 等 ; 

log 表示 记录 符合 规则 条 件 的 网 络 包 。 


而 给 出 一 个 例子 ， 用 Cisco 路 由 器 防止 DDoS 攻击 ， 配 置信 息 如 下 。 
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! the TRINOO DDoS systems 

access-list 170 deny tcp any any eq 27665 log 
access-list 170 deny udp any any eq 31335 log 
access-list 170 deny udp any any eq 27444 log 
! the Stacheldraht DDoS system 

access-list 170 deny tcp any any eq 16660 log 
access-list 170 deny tcp any any eq 65000 log 
! the TrinityV3 system 

access-list 170 deny tcp any any eq 33270 log 
access-list 170 deny tcp any any eq 39168 log 
! the Subseven DDoS system and some variants 
access-list 170 deny tcp any any range 6711 6712 log 
access-list 170 deny tcp any any eq 6776 log 
access-list 170 deny tcp any any eq 6669 log 
access-list 170 deny tcp any any eq 2222 log 
access-list 170 deny tcp any any eq 7000 log 


简 而 言 之 ， 包 过 滤 成 为 当前 解决 网 络 安全 问题 的 重要 技术 之 一 ， 不 仅 可 以 用 在 网 络 边界 ， 
而 且 也 可 应 用 在 单 台 主机 上 。 例如, 现在 个 人 防火 墙 以 及 Windows 2000 和 Windows XP 都 提供 
了 对 TCP、UDP 等 协议 的 过 滤 支 持 ， 用 户 可 以 根据 自己 的 安全 需求 ， 通 过 过 滤 规 则 的 配置 来 限 
制 外 部 对 本 机 的 访问 .图 8-4 是 利用 Windows 2000 系统 自 带 的 包 过 滤 功 能 对 139 端口 进行 过 滤 ， 
这 样 可 以 阻止 基于 RPC 的 漏洞 攻击 。 


级 TCP/IP 设置 
二 设置 [DHS |ws 选项 | 
可 的 设置 (0): | 


IP 安全 和 机制 
TCP/IP 师 先 


末 启用 TCP/IP 入 选 (所 有 适配器 ) (E) 


个 全 部 允许 (E) 人 全 部 允许 (D © 
oRNTD RNRTD = 
TCP 端口 TDP 端口 
80 
沃 加 ... | 


8-4 ”Windows 2000 过 滤 配 置 示意 图 


包 过 滤 防 火 墙 技术 的 优点 是 低 负载 、 高 通过 率 、 对 用 户 透明 。 但 是 包 过 滤 技 术 的 弱点 是 不 
能 在 用 户 级 别 进行 过 滤 ， 如 不 能 识别 不 同 的 用 户 和 防止 瑟 地 址 的 盗用 。 如 果 攻 击 者 把 自己 主机 
的 下 地址 设 成 一 个 合法 主机 的 下 地 址 ， 就 可 以 轻易 通过 包 过 滤器 。 
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8.2.2 ”状态 检查 技术 


基于 状态 的 防火 墙 通过 利用 TCP 会 话 和 UDP“ 伪 ”会 话 的 状态 信息 进行 网 络 访问 机 制 。 
采用 状态 检查 技术 的 防火 墙 首先 建立 并 维护 一 张 会 话 表 , 当 有 符合 已 定义 安全 策略 的 TCP 连接 
或 UDP 流 时 ， 防 火 墙 会 创建 会 话 项 ， 然 后 依据 状态 表 项 检查 ， 与 这 些 会 话 相关 联 的 包 才 允许 
通过 防火 墙 。 如 图 8-5 所 示 为 某 公司 的 状态 防火 墙 处 理 包 的 流程 。 


收 到 的 数据 包 


数据 包 有 效 性 
检查 
— 有 
Ee ,| 检查 序号 
查找 会 话 表 
ee 看 效 7 一 ~ 井 
我 到 ? yy 
否 检查 会 话 状态 
搜索 策略 表 s 
有 效 [= 
2 
I 
这 加 合生 到 翻译 地 址 及 路 由 


Y 
丢弃 数据 包 并 更 新 
日 志 记 录 、 统 计数 量 


传输 数据 包 


8-5 ”状态 防火 墙 包 过 滤 流 程 


状态 防火 墙 处 理 包 流 程 的 主要 步骤 如 下 。 

(1) 接收 到 数据 包 。 

(2) 检查 数据 包 的 有 效 性 ， 若 无 效 ， 则 丢掉 数据 包 并 审计 。 

(3) 查找 会 话 表 ， 若 找到 ， 则 进一步 检查 数据 包 的 序列 号 和 会 话 状 态 ， 如 有 效 ， 则 进行 地 
址 转换 和 路 由 ， 转 发 该 数据 包 ; 和 否则， 丢掉 数据 包 并 审计 。 

(4) 当 会 话 表 中 没有 新 到 的 数据 包 信息 时 ， 则 查找 策略 表 ， 如 符合 策略 表 ， 则 增加 会 话 条 
目 到 会 话 表 中 ， 并 进行 地 址 转换 和 路 由 ， 转 发 该 数据 包 ， 否 则 ， 丢 掉 该 数据 包 并 审计 。 


8.2.3 应 用 服务 代理 
应 用 服务 代理 防火 墙 扮演 着 受 保护 网 络 的 内 部 网 主机 和 外 部 网 主机 的 网 络 通信 连接 “中 间 
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人 ”的 角色 ， 代 理 防 火 墙 代 蔡 受 保护 网 络 的 主机 向 外 部 网 发 送 服务 请 求 ， 并 将 外 部 服务 请 求 响 
应 的 结果 返回 给 受 保护 网 络 的 主机 ， 如 图 8-6 所 示 。 


等 待 代理 服务 请 求 
接收 代理 服务 请 求 
读 取 代理 服务 安全 策略 


执行 代理 服务 认证 


否 


响应 代理 服务 请 求 代理 服务 处 理 


是 否 完成 ? 


认证 是 否 通过 ? 


8-6 代理 服务 工作 流程 


采用 代理 服务 技术 的 防火 墙 简称 为 代理 服务 器 ， 它 能 够 提供 在 应 用 级 的 网 络 安全 访问 控 
制 。 代 理 服务 器 按照 所 代理 的 服务 可 以 分 为 FTP 代理 、Telnet 代理 、Http 代理 、Socket 代理 、 
邮件 代理 等 。 代 理 服务 器 通常 由 一 组 按 应 用 分 类 的 代理 服务 程序 和 身份 验证 服务 程序 构成 。 每 
个 代理 服务 程序 用 到 一 个 指定 的 网 络 端口 ， 代 理 客 户 程序 通过 该 端口 获得 相应 的 代理 服务 。 例 
如 ， 正 浏览 器 支持 多 种 代理 配置 ， 包 括 Http、FTP、Socks 等 ， 如 图 8-7 所 示 。 


图 8-7 正 浏 览 器 配置 示意 图 
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代理 服务 技术 也 是 常用 的 防火 墙 技术 ,安全 管理 员 为 了 对 内 部 网 络 用 户 进行 应 用 级 上 的 访 
问 控制 ， 常 安装 代理 服务 器 ， 如 图 8-8 所 示 。 


外 网 服务 器 


[LES] 
客户 代理 
图 8-8 代理 服务 器 工作 示意 图 


受 保护 的 内 部 用 户 对 外 部 网 络 访问 时 ， 首 先 需要 通过 代理 服务 器 的 认可 ， 才 能 向 外 提出 请 
求 ， 而 外 网 的 用 户 只 能 看 到 代理 服务 器 ， 从 而 隐藏 了 受 保护 网 络 的 内 部 结构 及 用 户 的 计算 机 信 
息 。 因 而 ， 代 理 服务 器 可 以 提高 网 络 系统 的 安全 性 。 应 用 服务 代理 技术 的 优点 主要 有 


。 不 允许 多 


部 主机 直接 访问 内 部 主机 ; 


。 支持 多 种 用 户 认证 方案 ; 

。 可 以 分 析 数 据 包 内 部 的 应 用 命令 ; 

。 ”可 以 提供 详细 的 审计 记录 。 

应 用 服务 代理 技术 的 缺点 是 : 

。 ”速度 比 包 过 滤 慢 ; 

。 ”对 用 户 不 透明 ; 

。 与 特定 应 用 协议 相关 联 ， 代 理 服 务 器 并 不 能 支持 所 有 的 网 络 协议 。 


8.2.4 网 络 地 址 转换 技术 


NAT 是 Network Address Translation 的 英文 缩写 ， 中 文 含义 是 “网 络 地 址 转换 ”。NAIT 技 
术 主 要 是 为 了 解决 公开 地 址 不 足 而 出 现 的 , 它 可 以 缓解 少量 因特网 他 地址 和 大 量 主机 之 间 的 巴 
盾 。 但 NAT 技术 用 在 网 络 安全 应 用 方面 ， 则 能 透明 地 对 所 有 内 部 地 址 作 转 换 , 使 外 部 网 络 无 法 
了 解 内 部 网 络 的 内 部 结构 ,从 而 提高 了 内 部 网 络 的 安全 性 。 基 于 NAT 技术 的 防火 墙 上 配置 有 合 
法 的 公共 下地 址 集 , 当 内 部 某 一 用 户 访问 外 网 时 , 防火 墙 动态 地 从 地 址 集中 选 一 个 未 分 配 的 地 


址 分 配给 该 用 户 ， 


该 用 户 即 可 使 用 这 个 合法 地 址 进行 通信 。 实 现 网 络 地 址 转换 的 方式 主要 有 


静态 NAT (StaticNAT) 、NAT 池 (pooledNAT) 和 端口 NAT (PAT) 三 种 类 型 。 其 中 静态 NAT 


设置 起 来 最 为 简 和 


各， 内 部 网 络 中 的 每 个 主机 都 被 永久 映射 成 外 部 网 络 中 的 某 个 合法 的 地 址 。 而 


NAT 池 则 是 在 外 部 网 络 中 配置 合法 地 址 集 ， 采 用 动态 分 配 的 方法 映射 到 内 部 网 络 。PAT 则 是 把 
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内 部 地 址 映射 到 外 部 网 络 的 一 个 人 P 地 址 的 不 同 端口 上 。 目 前 ， 许 多 路 由 器 产品 都 具有 NAT 功 
能 。 开 源 操作 系统 Linux 自 带 的 IPtables 防火 墙 支持 地 址 转换 技术 。 


8.2.5 ”Web 防火 墙 技术 


Web 应 用 防火 墙 是 一 种 用 于 保护 Web 服务 器 和 Web 应 用 的 网 络 安全 机 制 。 其 技术 原理 是 
根据 预先 定义 的 过 滤 规 则 和 安全 防护 规则 ,对 所 有 访问 Web 服务 器 的 HTTP 请 求 和 服务 器 响应 ， 
进行 HITP 协议 和 内 容 过 滤 ， 进 而 对 Web 服务 器 和 Web 应 用 提供 安全 防护 功能 。Web 应 用 防 
火 墙 的 HTTP 过 滤 的 常见 功能 主要 有 人 允许 /禁止 HTTP 请 求 类 型 、HTTP 协议 头 各 个 字段 的 长 
度 限制 、 后 缀 名 过 滤 、URL 内 容 关键 字 过 滤 、Web 服务 器 返回 内 容 过 滤 。Web 应 用 防火 墙 可 
抵御 的 典型 攻击 主要 是 SQL 注入 攻击 、XSS 跨 站 脚本 攻击 、Web 应 用 扫描 、Webshell、 Cookie 
注入 攻击 、CSREF 攻击 等 。 目前 , 开源 Web 应 用 防火 墙 有 ModSecurity、 WebKnight、Shadow 


Daemon 等 。 


8.2.6 数据库 防火 墙 技术 


数据 库 防火 墙 是 一 种 用 于 保护 数据 库 服务 器 的 网 络 安全 机 制 。 其 技术 原理 主要 是 基于 数据 
通信 协议 深度 分 析 和 虚拟 补丁 ， 根 据 安全 规则 对 数据 库 访问 操作 及 通信 进行 安全 访问 控制 ， 防 
止 数 据 库 系统 受到 攻击 威胁 。 其 中 ， 数 据 库 通 信 协 议 深 
度 分 析 可 以 获取 访问 数据 库 服务 器 的 应 用 程序 数据 包 的 
“ 源 地 址 、 目 标 地 址 、 源 端口 、 目 标 端口 、SQL 语句 ”等 | 
信息 ， 然 后 依据 这 些 信息 及 安全 规则 监控 数据 库 风险 行 行为 模型 
为 ， 阻 断 违规 SQL 操作 、 阻 断 或 允许 合法 的 SQL 操作 图 8-9 数据 库 防 火 墙 控制 示意 图 
执行 ， 如 图 8-9 所 示 。 

虚拟 补丁 技术 通过 在 数据 库 外 部 创建 一 个 安全 屏障 层 ， 监 控 所 有 数据 库 活动 ， 进 而 阻止 可 
疑 会 话 、 操 作 程序 或 隔离 用 户 ， 防 止 数据 库 漏洞 被 利用 ， 从 而 不 用 打数 据 库 厂 商 的 补丁 ， 也 不 
需要 停止 服务 ， 可 以 保护 数据 库 安全 。 某 公司 的 数据 库 防 火 墙 如 图 8-10 所 示 。 


select*from accounts, 
Login,app:SqlSpec.ex' 


8-10 数据 库 防 火 墙 示意 图 
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8.2.7 工控 防火 墙 技 术 


工业 控制 系统 专用 防火 墙 简称 为 工控 防火 墙 ， 是 一 种 用 于 保护 工业 设备 及 系统 的 网 络 安 
全 机 制 。 其 技术 原理 主要 是 通过 工控 协议 深度 分 析 ， 对 访问 工控 设备 的 请 求 和 响应 进行 监控 ， 
防止 恶意 攻击 工控 设备 ， 实 现 工控 网 络 的 安全 隔离 和 工控 现场 操作 的 安全 保护 。 工 控 防 火 墙 
与 传统 的 网 络 防火 墙 有 所 差异 ， 工 控 防 火 墙 侧重 于 分 析 工 控 协 议 ， 主 要 包括 Modbus TCP 协 
议 、IEC 61850 协议 、OPC 协议 、EthemetIP 协议 和 DNP3 协议 等 。 同 时 ， 工 控 防火 墙 要 适应 
工业 现场 的 恶劣 环境 及 实时 性 高 的 工控 操作 要 求 。 如 图 8-11 所 示 , 工控 防火 墙 用 来 保护 控制 
系统 安全 。 


操作 站 操作 站 。 ”数据 。 工程 师 站 
服务 器 。 


8-11 工控 防火 墙 应 用 示意 图 


8.2.8 下 一 代 咏 火 墙 技术 


相对 于 传统 网 络 防火 墙 而 言 ， 下 一 代 防 火 墙 除了 集成 传统 防火 墙 的 包 过 滤 、 状 态 检 测 、 地 
址 转换 等 功能 外 ， 还 具有 应 用 识别 和 控制 、 可 应 对 安全 威胁 演变 、 检 测 隐藏 的 网 络 活动 、 动 态 
快速 响应 攻击 、 支 持 统一 安全 策略 部 署 、 智 能 化 安全 管理 等 新 功能 。 

(1) 应 用 识别 和 管控 。 不 依赖 端口 ， 通 过 对 网 络 数 据 包 深度 内 容 的 分 析 ， 实 现 对 应 用 层 协 
议和 应 用 程序 的 精准 识别 ， 提 供应 用 程序 级 功能 控制 ， 支 持 应 用 程序 安全 防护 。 

(2) 入 侵 防 护 (IPS) 。 能 够 根据 漏洞 特征 进行 攻击 检测 和 防护 ， 如 SQL 注入 攻击 。 

(3) 数据 防 泄露 。 对 传输 的 文件 和 内 容 进行 识别 过 滤 ， 可 准确 识别 常见 文件 的 真实 类 型 ， 
如 Word、Excel、PPT、PDF 等 ， 并 对 敏感 内 容 进 行 过 滤 。 

(4) 恶意 代码 防护 。 采 用 基于 信誉 的 恶意 检测 技术 ， 能 够 识别 恶意 的 文件 和 网 站 。 构 建 
Web 信誉 库 ， 通 过 对 互联 网 站 资源 (人 P、URL、 域 名 等 ) 进行 威胁 分 析 和 信誉 评级 ， 将 含有 恶 
意 代码 的 网 站 资源 列 入 Web 信誉 库 ， 然 后 基于 内 容 过 滤 技 术 阻挡 用 户 访问 不 良 信誉 网 站 ， 从 而 
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实现 智能 化 保护 终端 用 户 的 安全 。 

(5) URL 分 类 与 过 滤 。 构 建 URL 分 类 库 ， 内 含 不 同类 型 的 URL 信息 如 不 良言 论 、 网 络 
“钓鱼 ”、 论 坛 聊天 等 ) ， 对 与 工作 无 关 的 网 站 、 不 良 信息 、 高 风险 网 站 实现 准确 、 高 效 过 滤 。 

(6) 带宽 管理 与 QoS 优化 。 通 过 智能 化 识别 业务 应 用 ， 有 效 管理 网 络 用 户 /IP 使 用 的 带宽 ， 
确保 关键 业务 和 关键 用 户 的 带宽 ， 优 化 网 络 资源 的 利用 。 

(7) 加 密 通信 分 析 。 通 过 中 间 人 代理 和 重 定向 等 技术 ， 对 SSL、SSH 等 加 密 的 网 络 流量 进 
行 监测 分 析 。 


8.2.9 防火 墙 共性 关键 技术 
防火 墙 涉及 多 种 技术 ， 其 中 关键 技术 主要 有 以 下 几 种 。 
1. 深度 包 检测 


深度 包 检 测 〈(Deep Packet Inspection，DPI) ， 是 一 种 用 于 对 包 的 数据 内 容 及 包头 信息 进行 
检查 分 析 的 技术 方法 。 传 统 检查 只 针对 包 的 头 部 信息 ， 而 DPI 对 包 的 数据 内 容 进 行 检查 ， 深 入 
应 用 层 分 析 。DPI 运用 模式 (特征) 匹配 、 协 议 异常 检测 等 方法 对 包 的 数据 内 容 进 行 分 析 。DPI 
已 经 被 应 用 到 下 一 代 防 火 墙 、Web 防火 墙 、 数 据 库 防火 墙 、 工 控 防 火 墙 等 中 ， 属 于 防火 墙 的 核 
心 技术 之 一 。 然 而 ，DPI 面临 模式 规则 维护 管理 复杂 性 、 自 身 安全 性 、 隐 私 保护 、 性 能 等 一 系 
列 挑战 和 问题 。DPI 需要 不 断 更 新 维护 深度 检测 策略 ， 以 确保 防火 墙 持续 有 效 。 对 于 DPI 的 自 
身 安 全 问题 ， 相 关 研 究 人 员 已 经 提出 针对 模式 匹配 算法 进行 复杂 度 攻击 的 方法 。 隐 私 保护 技术 
使 得 DPI 的 检测 能 力 受 到 限制 ， 加 密 数 据 的 搜索 匹配 成 为 DPI 的 技术 难点 。DPI 需要 处 理 包 的 
数据 内 容 , 使 得 防火 墙 处 理工 作 显著 增加 ， 这 将 直接 影响 网 络 传输 速度 。 围 绕 DPI 的 难点 问题 ， 
相关 研究 人 员 提 出 利用 硬件 提高 模式 匹配 算法 性 能 ， 如 利用 GPU 加 速 模式 匹配 算法 。 


2. 操作 系统 


防火 墙 的 运行 依赖 于 操作 系统 ， 操 作 系统 的 安全 性 直接 影响 防火 墙 的 自身 安全 。 目 前 ， 防 
火 墙 的 操作 系统 主要 有 Linux、Windows、 设 备 定制 的 操作 系统 等 。 操作 系统 的 安全 增强 是 防火 
墙 的 重要 保障 。 


3. 网 络 协议 分 析 
防火 墙 通过 获取 网 络 中 的 包 ， 然 后 利用 协议 分 析 技 术 对 包 的 信息 进行 提取 ， 进 而 实施 安全 
策略 检查 及 后 续 包 的 处 理 。 


8.3 防火 墙 主要 产品 与 技术 指标 


防火 墙 是 主流 的 网 络 安全 产品 ， 按 照应 用 场景 ， 防 火 墙 的 产品 类 型 有 网 络 防 火 墙 、Web 应 
用 防火 墙 、 数 据 库 防火 墙 、 主 机 防火 墙 、 工 控 防 火 墙 、 下 一 代 防 火 墙 、 家 庭 防 火 墙 。 下 面 介绍 
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各 类 防火 墙 产品 的 特点 及 主要 技术 指标 。 
8.3.1 防火 墙 主 要 产品 


防火 墙 是 广泛 应 用 的 网 络 安全 产品 ， 其 产品 形态 有 硬件 实体 模式 和 软件 模式 。 商 业 产品 的 
主要 形态 为 物理 硬件 实体 ， 安 全 功能 软件 集成 到 硬件 实体 中 。 开 源 防火 墙 产品 主要 以 软件 模式 
存在 ， 如 IPtables。 目 前 ， 防 火 墙 的 主要 产品 类 型 如 下 。 


1. 网 络 防火 墙 


网 络 防火 墙 的 产品 特点 是 部 署 在 不 同安 全 域 之 间 ， 解 析 和 过 滤 经 过 防火 墙 的 数据 流 ， 有 具备 
网 络 层 访问 控制 及 过 滤 功 能 的 网 络 安全 产品 。 

2. Web 应 用 防火 墙 

Web 应 用 防火 墙 的 产品 特点 是 根据 预先 定义 的 过 滤 规 则 和 安全 防护 规则 , 对 所 有 访问 Web 


服务 器 的 HTTP 请 求 和 服务 器 响应 进行 HTTP 协议 和 内 容 过 滤 ， 并 对 Web 服务 器 和 Web 应 用 
提供 安全 防护 的 网 络 安全 产品 。 


3. 数据 库 防火 墙 


数据 库 防火 墙 的 产品 特点 是 基于 数据 库 协议 分 析 与 控制 技术 , 可 实现 对 数据 库 的 访问 行为 
控制 和 危险 操作 阻 断 的 网 络 安全 产品 。 


4. 主机 防火 墙 


主机 防火 墙 的 产品 特点 是 部 署 在 终端 计算 机 上 ， 监测 和 控制 网 络 级 数据 流 和 应 用 程序 访问 
的 网 络 安全 产品 。 


S. 工控 防火 墙 


工控 防火 墙 的 产品 特点 是 部 署 在 工业 控制 环境 ， 基 于 工控 协议 深度 分 析 与 控制 技术 ， 对 工业 
控制 系统 、 设 备 以 及 控制 域 之 间 的 边界 进行 保护 , 并 满足 特定 工业 环境 和 功能 要 求 的 网 络 安全 产品 。 


6. 下 一 代 防火 墙 
下 一 代 防 火 墙 的 产品 特点 是 部 署 在 不 同安 全 域 之 问 ， 解 析 和 过 滤 经 过 防火 墙 的 数据 流 ， 集 
成 应 用 识别 和 管控 、 恶 意 代码 防护 、 入 侵 防 护 、 事 件 关联 等 多 种 安全 功能 ， 同 时 有 具备 网 络 层 和 
应 用 层 访问 控制 及 过 滤 功 能 的 网 络 安全 产品 。 
7. 家 庭 防火 墙 


家 庭 防火 墙 的 产品 特点 是 防火 墙 功能 模块 集成 在 智能 路 由 器 中 ,具有 卫 地 址 控制 、 MAC 
地 址 限制 、 不 良 信息 过 滤 控 制 、 防 止 蹦 网 、 智 能 家 居 保 护 等 功能 的 网 络 安全 产品 。 
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8.3.2 防火墙 主要 技术 指标 


一 般 来 说 ， 防 火 墙 评价 指标 可 以 分 成 四 类 ， 即 安全 功能 要 求 、 性 能 要 求 、 安 全 保障 要 求 、 
环境 适应 性 要 求 。 根 据 《 信 息 安 全 技术 ”防火墙 安 全 技术 要 求 和 测试 评价 方法 》《 信 息 安 全 技 
术 ”工业 控制 系统 专用 防火 墙 技 术 要 求 》 等 国家 标准 规范 ， 不 同类 型 防火 墙 的 安全 功能 要 求 、 
性 能 要 求 、 环 境 适 应 性 要 求 有 所 差异 ， 安 全 保障 要 求 基本 相同 。 


1. 防火 墙 安全 功能 指标 
防火 墙 的 主要 安全 功能 如 表 8-2 所 示 。 


表 8-2 ”防火墙 主要 安全 功能 指标 项 

功能 指标 项 功能 描述 
网 络 接口 是 指 防火 墙 所 能 够 保护 的 网 络 类 型 ， 如 以 太 网 、 快 速 以 太 网 、 千 兆 以 太 网 、ATM、 令 
牌 环 及 FDDI 等 
除 支持 人 P 协议 之 外 , 还 支持 AppleTalk、DECnet、 IPX 及 NETBEUI 等 协议 ; 建立 VPN 
协议 支持 ”| 通道 的 协议 ，IPSec、PPTP、 专 用 协议 等 ; 
数据 协议 分 析 类 型 、 工 控 协 议 分 析 类 型 、 应 用 协议 识别 类 型 ，IPv6 协议 支持 

路 由 支持 ”| 静态 路 由 、 策 略 路 由 、 动 态 路 由 

设备 虚拟 化 | 虚拟 系统 、 虚 拟 化 部 署 

加 密 支 持 ”| 是 指 防火 墙 所 能 够 支持 的 加 密 算 法 , 例如 DES、RC4、IDEA、AES 以 及 国产 加 密 算法 

认证 支持 是 指 防火 墙 所 能 够 支持 的 认证 类 型 ， 如 RADIUS、Kerberos、TACACS/TACACS+、 口 
令 方 式 、 数 字 证 书 等 
访问 控制 ”| 包 过 滤 、NAT、 状 态 检 测 、 动 态 开放 端口 、IP/MAC 地 址 绑 定 
流量 管理 。 | 带宽 管理 、 连 接 数控 制 、 会 话 管理 
应 用 层 控制 | 用 户 管控 、 应 用 类 型 控制 、 应 用 内 容 控制 、 负 载 均 衡 
攻击 防护 拒绝 服务 攻击 防护 、 Web 攻击 防护 、 数 据 库 攻击 防护 、 恶 意 代 码 防护 、 
其 他 应 用 攻击 防护 、 自 动 化 工具 威胁 防护 、 攻 击 逃 逸 防护 、 外 部 系统 协同 防护 
是 指 防火 墙 所 能 够 支持 的 管理 方式 , 如 基于 SNMP 管理 、 管 理 的 通信 协议 、 带 宽 管 理 、 
负载 均衡 管理 、 失 效 管理 、 用 户 权限 管理 、 远 程 管理 和 本 地 管理 等 
是 指 防火 墙 所 能 够 支持 的 审计 方式 和 分 析 处 理 审计 数据 的 表达 形式 ， 如 远程 审计 、 本 
地 审计 等 


2. 防火 墙 性 能 指标 


评估 防火 墙 性 能 的 指标 涉及 防火 墙 所 采用 的 技术 ， 根 据 现 有 防火 墙 产品 ， 防 火 墙 在 性 能 方 
面 的 指标 主要 包括 如 下 几 个 方面 : 
。 ”最 大 吞吐 量 : 检查 防火 墙 在 只 有 一 条 默认 允许 规则 和 不 丢 包 的 情况 下 达到 的 最 大 吞吐 
速率 ， 如 网 络 层 吞 吐 量 、HTTP 吞吐 量 、SQL 吞吐 量 ; 
。 ”最 大 连接 速率 : TCP 新 建 连接 速率 、HTTP 请 求 速率 、SQL 请 求 速率 ; 


管理 功能 


审计 和 报表 
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。 ”最 大 规则 数 ， 检 查 在 添加 大 数量 访问 规则 的 情况 下 ， 防 火 墙 性 能 变化 状况 ; 
。 ”并 发 连接 数 ， 防 火 墙 在 单位 时 间 内 所 能 建立 的 最 大 TCP 连接 数 ， 每 秒 的 连接 数 。 
3. 防火 墙 安 全 保障 指标 


防火 墙 安全 保障 指标 用 于 测评 防火 墙 的 安全 保障 程度 ， 主 要 包括 开发 、 指 导 性 文档 、 生 命 
期 支持 、 测 试 、 脆 弱 性 评定 。 具 体 情况 可 参考 CC 标准 及 防火 墙 的 安全 标准 规范 。 


4. 环境 适应 性 指标 


环境 适应 性 指标 用 于 评估 防火 墙 的 部 署 和 正常 运行 所 需要 的 条 件 ， 主 要 包括 网 络 环境 、 物 
理 环 境 。 网 络 环境 通常 指 IPv4/IPv6 网 络 、 云 计算 环境 、 工 控 网 络 等 。 物 理 环 境 通 常 包括 气候 、 
电磁 兼容 、 绝 缘 、 接 地 、 机 械 适 应 性 、 外 壳 防 护 等 。 


5. 防火 墙 自身 安全 指标 


由 于 防火 墙 在 网 络 安全 中 所 扮演 的 角色 ， 防 火 墙 的 自身 安全 至 关 重 要 。 评 价 防火 墙 的 安全 
功能 指标 主要 有 身份 识别 与 鉴别 、 管 理 能 力 、 管 理 审计 、 管 理 方式 、 异 常 处 理 机 制 、 防 火 墙 操 
作 系 统 安全 等 级 、 抗 攻击 能 力 等 。 


8.4 防火 墙 防御 体系 结构 类 型 

防火 墙 防御 体系 结构 主要 有 基于 双 宿主 主机 防火 墙 、 基 于 代理 型 防火 墙 、 基 于 屏蔽 子 网 的 
防火 墙 。 
8.4.1 基于 双 宿 主 主机 防火 墙 结构 


双 宿 主 主机 结构 是 最 基本 的 防火 墙 结构 。 这 种 系统 实质 上 是 至 少 具有 两 个 网 络 接口 卡 的 主 
机 系统 。 在 这 种 结构 中 ， 一 般 都 是 将 一 个 内 部 网 络 和 外 部 网 络 分 别 连接 在 不 同 的 网 卡 上 ， 使 内 
外 网 络 不 能 直接 通信 。 对 从 一 块 网 卡 上 送 来 的 瑟 包 , 经 过 一 个 安全 检查 模块 检查 后 ， 如 果 是 合 
法 的 ， 则 转发 到 另 一 块 网 卡 上 ， 以 实现 网 络 的 正常 通信 ; 如 果 不 合法 ， 则 阻止 通信 。 这 样 ， 内 、 
外 网 络 直接 的 卫 数据 流 完全 在 双 宿主 主机 的 控制 之 中 ， 如 图 8-12 所 示 。 


-| 


中 
受 保护 网 络 


图 8-12 双 宿 主 主机 防火 墙 结构 


型 
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8.4.2 ”基于 代理 型 防火 墙 结构 


双 宿 主 主机 结构 由 一 台 同 时 连接 内 、 外 网 络 的 主机 提供 安全 保障 ， 代 理 型 结构 则 不 同 ， 
代理 型 结构 中 由 一 台 主 机 同 外 部 网 连接 ， 该 主机 代理 内 部 网 和 外 部 网 的 通信 。 同 时 ， 代 理 
型 结构 中 还 通过 路 由 器 过 滤 ， 代 理 服务 器 和 路 由 器 共同 构建 一 个 网 络 安全 边界 防御 架构 ， 


如 图 8-13 所 示 。 
明 | 
- om? 


代理 服务 器 主机 


受 保护 的 网 络 
图 8-13 ”代理 型 防火 墙 结构 


在 这 种 结构 中 , 代理 主机 位 于 内 部 网 络 。 一般 情况 下 , 过 滤 路 由 器 可 按 如 下 规则 进行 配置 。 

。 ”允许 其 他 内 部 主机 为 某 些 类 型 的 服务 请 求 与 外 部 网 络 建立 直接 连接 。 

。 ”任何 外 部 网 (或 Intermet) 的 主机 只 能 与 内 部 网 络 的 代理 主机 建立 连接 。 

。 ”任何 外 部 系统 对 内 部 网 络 的 操作 都 必须 经 过 代理 主机 。 同 时 ， 代 理 主机 本 身 要 有 较 全 

面 的 安全 保护 。 

由 于 这 种 结构 允许 包 从 外 部 网 络 直接 传送 到 内 部 网 〈 代 理 主机 ) ， 所 以 这 种 结构 的 安全 控 
制 看 起 来 似乎 比 双 宿主 主机 结构 差 。 在 双人 宿主 主机 结构 中 ， 外 部 网 络 的 包 在 理论 上 不 可 能 直接 
抵达 内 部 网 。 但 实际 上 ， 应 用 双 宿主 主机 结构 防护 数据 包 从 外 部 网 络 进入 内 部 网 络 也 很 容易 失 
败 ， 并 且 这 种 失败 是 随机 的 ， 所 以 无 法 有 效 地 预先 防范 。 一 般 来 说 ， 代 理 型 结构 能 比 双人 宿主 主 
机 结构 提供 更 好 的 安全 保护 ， 同 时 操作 也 更 加 简便 。 代 理 型 结构 的 主要 缺点 是 ， 只 要 攻击 者 设 
法 攻破 了 代理 主机 ， 那 么 对 于 攻击 者 来 说 ， 整 个 内 部 网 络 与 代理 主机 之 间 就 没有 任何 障碍 了 ， 
攻击 者 变 成 了 内 部 合法 用 户 ， 完 全 可 以 侦 听 到 内 部 网 络 上 的 所 有 信息 。 


8.4.3 ”基于 屏 牙 子 网 的 防火 墙 结构 


如 图 8-14 所 示 ， 屏 蔽 子 网 结构 是 在 代理 型 结构 中 增加 一 层 周边 网 络 的 安全 机 制 ， 使 内 部 
网 络 和 外 部 网 络 有 两 层 隔 离 带 。 周 边 网 络 隔离 堡垒 主机 与 内 部 网 ， 减 轻 攻击 者 攻破 堡垒 主机 时 
对 内 部 网 络 的 冲击 力 。 攻 击 者 即使 攻破 了 堡垒 主机 ， 也 不 能 侦 听 到 内 部 网 络 的 信息 ， 不 能 对 内 
部 网 络 直接 操作 。 基 于 屏蔽 子 网 的 防火 墙 结构 的 特点 如 下 : 
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。 应 用 代理 位 于 被 屏蔽 子 网 中 ， 内 部 网 络 向 外 公开 的 服务 器 也 放 在 被 屏蔽 子 网 中 ， 外 部 
网 络 只 能 访问 被 屏蔽 子 网 ， 不 能 直接 进入 内 部 网 络 。 

。 ”两 个 包 过 滤 路 由 器 的 功能 和 配置 是 不 同 的 。 包 过 滤 路 由 器 A 的 作用 是 过 滤 外 部 网 络 对 
被 屏蔽 子 网 的 访问 。 包 过 滤 路 由 器 B 的 作用 是 过 滤 被 屏蔽 子 网 对 内 部 网 络 的 访问 。 所 
有 外 部 网 络 经 由 被 屏蔽 子 网 对 内 部 网 络 的 访问 ， 都 必须 经 过 应 用 代理 服务 器 的 检查 和 
认证 。 

。 ”优点 : 安全 级 别 最 高 。 

。 缺点 : 成 本 高 ， 配 置 复杂 。 


过 滤 路 由 器 A 
门 i 
属于 


| 代理 服务 器 主机 


受 保护 的 网 络 
图 8-14 屏蔽 子 网 防火 墙 结构 


8.5 ”防火墙 技术 应 用 


防火 墙 技术 是 常见 的 网 络 安全 边界 保护 措施 ， 本 节 分 析 防 火 墙 技术 的 应 用 场景 类 型 ， 给 出 
防火 墙 部 署 方法 ， 列 举 了 常见 的 IPtables 防火 墙 、Web 应 用 防火 墙 、 包 过 滤 防 火 墙 、 工 控 防 火 
墙 等 实施 参考 案例 。 


8.5.1 防火 墙 应 用 场景 类 型 


防火 墙 是 网 络 安全 保障 的 重要 基础 性 技术 ， 目 前 已 经 广泛 应 用 于 网 络 信息 系统 保护 ， 常 见 
的 应 用 场景 主要 如 下 。 


1. 上 网 保护 


利用 防火 墙 的 访问 控制 及 内 容 过 滤 功能 ， 保 护 内 网 和 上 网 计算 机 安全 ， 防 止 互联 网 黑客 直 
接 攻击 内 部 网 络 ， 过 滤 恶 意 网 络 流量 ， 切 断 不 良 信息 访问 。 


2. 网 站 保护 
通过 Web 应 用 防火 墙 代 理 互 联网 客户 端 对 Web 服务 器 的 所 有 请 求 ， 清 洗 异 常 流量 ， 有 效 
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控制 政务 网 站 应 用 的 各 类 安全 威胁 。 
3. 数据 保护 


在 受 保护 的 数据 区 域 边界 处 部 署 防火 墙 , 对 数据 库 服务 器 或 数据 存储 设备 的 所 有 请 求 和 响 
应 进行 安全 检查 ， 过 滤 恶 意 操作 ， 防 止 数 据 受到 威胁 。 


4. 网 络 边 界 保护 


在 安全 域 之 间 部 署 防火 墙 ， 利 用 防火 墙 进行 访问 控制 ， 限 制 不 同安 全 域 之 间 的 网 络 通信 ， 
减少 安全 域 风 险 来 源 。 


5. 终端 保护 
在 终端 设备 上 安装 防火 墙 ， 利 用 防火 墙 阻 断 不 良 网 址 ， 防 止 终端 设备 受到 侵害 。 
6. 网 络 安全 应 急 响 应 


利用 防火 墙 ， 对 恶意 攻击 源 及 网 络 通信 进行 阻 断 ， 过 滤 恶 意 流量 ， 防 止 网 络 安全 事件 影响 
扩大 。 


8.5.2 防火墙 部 署 基 本 方法 


防火 墙 部 署 需 根据 受 保护 的 网 络 环境 和 安全 策略 进行 ， 如 网 络 物理 结构 或 逻辑 区 域 。 防 火 
墙 部 署 的 基本 过 程 包含 以 下 几 个 步骤 : 

第 一 步 ， 根 据 组 织 或 公司 的 安全 策略 要 求 ， 将 网 络 划分 成 若干 安全 区 域 ; 

第 二 步 ， 在 安全 区 域 之 间 设 置 针对 网 络 通信 的 访问 控制 点 

第 三 步 ， 针 对 不 同 访问 控制 点 的 通信 业务 需求 ， 制 定 相应 的 边界 安全 策略 ; 

第 四 步 ， 依 据 控制 点 的 边界 安全 策略 ， 采 用 合适 的 防火 墙 技术 和 防范 结构 

第 五 步 ， 在 防火 墙 上 ， 配 置 实现 对 应 的 网 络 安全 策略 ; 

第 六 步 ， 测 试验 证 边界 安全 策略 是 否 正常 执行 

第 七 步 ， 运 行 和 维护 防火 墙 。 


8.5.3 1IPtables 防火 墙 应 用 参考 


IPtables 是 Linux 系统 自 带 的 防火 墙 , 支持 数据 包 过 滤 、 数 据 包 转发 、 地址 转换 、 基 于 MAC 
地 址 的 过 滤 、 基 于 状态 的 过 滤 、 包 速率 限制 等 安全 功能 。IPtables 可 用 于 构建 Linux 主机 防火 墙 ， 
也 可 以 用 于 搭建 网 络 防火 墙 。IPtables 常见 应 用 配置 如 下 。 


# Modify this file accordingly for Your specific requirement. 
# http://www.thegeekstuff .com 


# 1. Delete all existing rules 
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iptables -FEF 


# 2. Set default chain policies 
iptables -P INPUT DROP 
iptables -P FORWARD DROP 


iptables -P OUTPUT DROP 


# 3. Block a specific ip-address 
#BLOCK_THIS IP="x.X.X.x" 
#iptables -A INPUT -s "$BLOCK THIS IP" -j DROP 


# 4. Allow ALL incoming SSH 

#iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j 
ACCEPT 

#iptables -A OUTPUT -o eth0 -p tcp -—-sport 22 -m state 一 -State ESTABLISHED -j ACCEPT 


# 5. Allow incoming SSH only from a sepcific network 

#iptables -A INPUT -i eth0 -p tcp -s X.Y.2.0/24 --dport 22 -m state --state 
NEW, ESTABLISHED -j ACCEPT 

#iptables -A OUTPUT -o eth0 -p tcp -Sport 22 -m state 一 -state ESTABLISHED -j ACCEPT 


# 6. Allow incoming HTTP 
#iptables -A INPUT -i eth0 -p tcp --dport 80 -m state 一 state NEW,ESTABLISHED -j ACCEPT 
#iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT 


# Allow incoming HTTPS 
#iptables -A INPUT -i eth0 -p tcp -~-dport 443 -m state --state NEW, ESTABLISHED -j ACCEPT 
#iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT 


# 7. MultiPorts (Allow incoming SSH, HTTP, and HTTPS) 

iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22, 80,443 -m state --state 
NEW, ESTABLISHED -]j ACCEPT 

iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22, 80,443 -m state --state 
ESTABLISHED -j ACCEPT 


# 8. Allow outgoing SSH 
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW, ESTABLISHED -j] ACCEPT 
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT 


# 9. Allow outgoing SSH only to a specific network 


#iptables -A OUTPUT -o eth0 -p tcp -d A.B.C.0/24 --dport 22 -m state --state 
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NEW, ESTABLISHED -j ACCEPT 
#iptables -A INPUT -i eth0 -p tcp 一 Sport 22 -m state -state ESTABLISHED -j ACCEPT 


# 10. Allow outgoing HTTPS 
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW, ESTABLISHED -j ACCEPT 
iptables -A INPUT -i eth0 -p tcp 一 Sport 443 -m state -state ESTABLISHED -]j ACCEPT 


# 11. Load balance incoming HTTPS traffic 

#iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth 
--cCounter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.X.Y1:443 
#iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth 
--Counter 0 --every 3 --packet 1 -]j DNAT --to-destination 192.168.X.Y2:443 
#iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth 
--Counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.X.Y3:443 


# 12. Ping from inside to outside 
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT 
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT 


# 13. Ping from outside to inside 
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT 
iptables -A OUTPUT -p icmp --icmp-type echo-reply -]j ACCEPT 


# 14. Allow loopback access 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT 


# 15. Allow packets from internal network to reach external network. 
# if ethl is connected to external network (internet) 
# if eth0 is connected to internal network (192.168.1.x) 


iptables -A FORWARD -i eth0 -o ethl -j ACCEPT 


# 16. Allow outbound DNS 
#iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT 
#iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT 


# 17. Allow NIS Connections 

# rpcinfo -p | grep ypbind ; This port is 853 and 850 
#iptables -A INPUT -p tcp --dport 111 -j ACCEPT 
#iptables -A INPUT -p udp --dport 111 -jij ACCEPT 
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#iptables -A INPUT -p tcp --dqport 853 -j ACCEPT 
#iptables -A INPUT -p udp --dqport 853 -j ACCEPT 
#iptables -A INPUT -p tcp --dqport 850 -j ACCEPT 
#iptables -A INPUT -p udp --dport 850 -j ACCEPT 


# 18. Allow rsync from a specific network 

iptables -A INPUT -i eth0 -p tcp -s 192.168.X.0/24 --dport 873 -m state --state 
NEW, ESTABLISHED -j ACCEPT 

iptables -A OUTPUT -o eth0 -p tcp 一 Sport 873 -m state -—-state ESTABLISHED -j ACCEPT 


# 19. Allow MySQL connection only from a specific network 

iptables -A INPUT -i eth0 -p tcp -s 192.168.Y.0/24 --dport 3306 -m state --state 
NEW, ESTABLISHED -j ACCEPT 

iptables -A OUTPUT -o eth0 -p tcp --sSport 3306 -m state --state ESTABLISHED -]j ACCEPT 


# 20. Allow Sendmail or Postfix 
iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -]j ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j] ACCEPT 


# 21. Allow IMAP and IMAPS 

iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j] ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j] ACCEPT 
iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW, ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT 


# 22. Allow POP3 and POP3S 

iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW, ESTABLISHED -j] ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --State ESTABLISHED -]j ACCEPT 
iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -]j ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -]j ACCEPT 


# 23. Prevent DoS attack 


iptables -A INPUT -p tcp --dport 80 -m limit —-limit 25/minute --limit-burst 100 -j ACCEPT 


# 24. Port forwarding 422 to 22 

iptables -t nat -A PREROUTING -p tcp -d 192.168.A.B --dport 422 -j DNAT --to 
192.168.102.37:22 

iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW, ESTABLISHED -j] ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp 一 Sport 422 -m state -—-state ESTABLISHED -j] ACCEPT 
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# 25. Log dropped packets 

iptables -N LOGGING 

iptables -A INPUT -j] LOGGING 

iptables -A LOGGING -m limit --limit 2/min -j LOG --1og-prefix "IPTables Packet 
Dropped: " --log-level 7 

iptables -A LOGGING -j DROP 


8.5.4 Web 应 用 防火 墙 应 用 参考 


Web 应 用 防火 墙 主要 依赖 于 安全 规则 ， 因 而 规则 的 维护 更 新 是 防火 墙 有 效 的 基础 。 目 前 
OWASP 核心 规则 集 (OWASP ModSecurity Core Rule Set) 是 一 组 用 于 Web 应 用 防火 墙 的 通 
用 攻击 检测 规则 。 核心 规则 集 (CRS) 的 目的 是 保护 Web 应 用 程序 的 安全 , 使 其 免 受 各 种 攻击 ， 
包括 OWASP TOP 10 攻击 , 同时 使 得 Web 防火 墙 减少 虚假 报警 。CRS3.0 提供 13 种 常见 的 攻击 
规则 类 型 ， 包 括 SQL 注入 、 跨 站 点 脚本 等 。 目 前 ,微软 公司 Azure 应 用 程序 网 关 的 应 用 防火 墙 
(WAF) 支持 CRS3.0 和 CRS2.0。 如 图 8-15 所 示 ， 微 软 公 司 Azure 应 用 程序 网 关 可 以 用 于 保护 
多 个 网 站 的 安全 。 在 不 需要 修改 代码 的 情况 下 ， 使 得 Web 应 用 程序 免 受 Web 漏洞 攻击 ， 一 个 
单独 应 用 程序 网 关 实 例 可 以 托管 多 达 100 个 受 Web 应 用 防火 墙 保护 的 网 站 。 


局 呈 


一 XSS 攻 击 咏 计 验证 请 求 
jo 性 验证 请 求 >»/ 
一 SQL 注入 中 委 0 验证 请 求 站 点 1 


局 四 


8-15 ”Azure 应 用 程序 网 关 示 意图 


8.5.5 包 过 滤 防 火 墙 应 用 参考 


已 知 某 公司 内 部 网 与 外 部 网 通过 路 由 器 互 连 ， 内 部 网 络 采用 路 由 器 自 带 的 过 滤 功 能 来 实现 
网 络 安全 访问 控制 ， 如 图 8-16 所 示 。 
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外 部 网 络 


Interface Eth 0 Interface Eth 1 
14.x.yYZ16 14.a.b.c/24 


8-16 ”网 络 结构 示意 图 


为 了 保证 内 部 网 络 和 路 由 器 的 安全 ， 特 定义 如 下 网 络 安全 策略 : 
。 ”只 允许 指定 的 主机 收集 SNMP 管理 信息 ; 

。 ”禁止 来 自 外 部 网 的 非法 通信 流通 过 ; 

。 ”禁止 来 自 内 部 网 的 非法 通信 流通 过 ; 

。 ”只 允许 指定 的 主机 远程 访问 路 由 器 。 

根据 上 述 网 络 安全 策略 ， 路 由 器 的 过 滤 规 则 安全 配置 信息 如 下 。 


hostname East 

! 

! access-list 100 applies to traffic from extarnal network: 
上 to the internal network or to the router 

no access-list 100 

access-list 100 deny ip 14.2.6.0 0.0.0.255 any log 
access-list 100 deny ip host 14.X.y.Zhost 14.X.y.Z 
access-list 100 deny ip 127.0.0.0 0.255.255.255 any 
access-list 100 deny ip 10.0.0.0 0.255.255.255 any 
access-list 100 deny ip 0.0.0.0 0.255.255.255 any 
accese-liet 100 deny ip 172.16.0.0 0.15.255.255 any 
access-list 100 deny ip 192.168.0.0 0.0.255.255 any 
access-list 100 deny ip 192.0.2.0 0.0.0.255 any 
access-list 100 deny ip 169.254.0.0 0.0.255.255 any 


access-list 100 deny ip 224.0.0.0 15.255.255.255 any log 


access-list 100 deny ip any host 14.2.6.255 log 
access-list 100 deny ip any host 14.2.6.0 log 


access-list 100 pernit tcp any 14.2.6.0 0.0.0.255 established 


access-list 100 deny icmp any any echo log 
access-list 100 deny icmp any any redirect log 
access-list 100 deny icmp any any mask-request log 
access-list 100 pernit icmp any 14.2.6.0 0.0.0.255 


access-list 100 pernit ospf 14.1.0.0 0.0.255.255 host 14.X.y.Z 


access-list 100 deny tcp any any range 6000 6063 log 
access-list 100 deny 上 tcP any any eq 6667 log 


8.5.6 工控 防火 墙 应 用 参考 


如 图 8-17 所 示 ， 在 调度 中 心 和 各 场 站 之 间 部 署 工业 防火 墙 ， 进 行 网 络 层级 间 的 安全 隔离 
和 防护 ， 提 高 门 站 、 储 配 站 、 输 配 站 等 各 站 的 安全 防护 能 力 。 将 每 个 场 站 作为 一 个 安全 域 ， 在 
各 场 站 PLC/RTU 等 工业 控制 设备 的 网 络 出 口 位 置 部 署 工业 防火 墙 ， 对 外 来 访问 进行 严格 控制 ， 


以 实现 重要 工业 控制 装置 的 单 体 设 备 级 安全 防护 。 


内 部 网 络 


14.2.6.0/24 


log 


log 


加 :项 
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调度 中 心 工程 工程 ”操作 操作 操作 操作 ，,GPS ，SCADA 服 务 器 集中 安全 
师 站 师 站 员 站 。” 员 站 员 站 员 站 时 钟 服务 器 (实时 、 历 史 ) 管理 平台 
wn wm 园 团 国 团 国 团 目 目 目 本 
移动 终端 浏览 PC E GIS ”仿真 ”生产 调度 
大 屏 基 系统 交换 机 服务 器 服务 器 应 用 服务 器 
防火 墙 目 
-一 交换 机 
,| 防火 寺 


本 通信 运行 商 汇聚 


场 站 ， 净 室 
| 未 人生 
通信 运行 商 汇聚 


无 人 站 / 大 宗 用 户 /CNG/ 


门 站 站 站。 训 压 计量 站 储 配 站 储 配 站 Co 


8-17 市 政 燃气 边界 防护 典型 部 署 方式 


8.6 ”本 章 小 结 

本 章 首先 介绍 了 防火 墙 的 概念 以 及 工作 原理 ， 并 重点 分 析 了 防火 墙 的 实现 技术 和 防火 墙 的 
评价 指标 ;然后 对 防火 墙 的 防御 体系 结构 类 型 进行 了 归纳 分 析 ， 主 要 有 双 宿 主 主机 结构 、 代 理 
型 结构 、 屏 蔽 子 网 结构 ， 最 后 给 出 防火 墙 的 应 用 案例 。 
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9.1 VPN 概述 


VPN 是 网 络 通信 安全 保护 的 常用 技术 ， 本 节 主 要 阐述 VPN 的 概念 和 安全 功能 ， 分 析 VPN 
的 发 展 变化 趋势 和 技术 风险 。 


9.1.1 VPN 概念 

VPN 是 英文 Virtual Private Network 的 缩写 ， 中 文 翻译 为 “虚拟 专用 网 ”， 其 基本 技术 原 
理 是 把 需要 经 过 公共 网 传递 的 报 文 (packet) 加密 处 理 后 ， 再 由 公共 网 络 发 送 到 目的 地 。 利 用 
VPN 技术 能 够 在 不 可 信任 的 公共 网 络 上 构建 一 条 专用 的 安全 通道 ， 经 过 VPN 传输 的 数据 在 公 
共 网 上 具有 保密 性 ， 如 图 9-1 所 示 。 


号 | - 咏 


ME 
网 络 A 网 络 
图 9-1 VPN 原理 示意 图 
所 谓 “虚拟 ” 指 网 络 连 接 特性 是 逻辑 的 而 不 是 物理 的 。VPN 是 通过 密码 算法 、 标 识 鉴别 、 
安全 协议 等 相关 的 技术 ， 在 公共 的 物理 网 络 上 通过 逻辑 方式 构造 出 来 的 安全 网 络 。 
9.1.2 VPN 安全 功能 
通过 VPN 技术 ， 企 业 可 以 在 远程 用 户 、 分 支部 门 、 合 作 伙伴 之 间 建 立 一 条 安全 通道 ， 并 
能 得 到 VPN 提供 的 多 种 安全 服务 ， 从 而 实现 企业 网 安全 。VPN 主要 的 安全 服务 有 以 下 3 种 : 
。 保密 性 服务 (Confidentiality) : 防止 传输 的 信息 被 监听 ; 


。 完整 性 服务 (Integrity) : 防止 传输 的 信息 被 修改 ; 
。 ”认证 服务 (Authentication〉: 提供 用 户 和 设备 的 访问 认证 ， 防 止 非法 接 入 。 
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9.1.3 ”VPN 发展 


VPN 产品 是 网 络 信 息 安全 市 场 的 成 熟 产品 ， 但 是 ， 随 着 IT 新 技术 的 出 现 和 攻击 手段 的 变 
化 ，VPN 在 安全 管理 手段 、 满 足 新 需求 方面 将 不 断 出 现 新 的 产品 形式 。 未 来 VPN 产品 的 技术 
动向 具有 以 下 特点 : 

。 VPN 客户 端 尽量 简化 ， 将 出 现 “ 零 客户 端 ”安装 模式 ; 

。 ”VPN 网 关 一 体 化 ， 综 合集 成 多 种 接 入 模式 ， 融 合 多 种 安全 机 制 和 安全 功能 ; 

。 ”VPN 产品 可 能 演变 成 可 信和 网络 产品 ; 

。 VPN 提供 标准 安全 管理 数据 接口 ， 能 够 纳入 SOC 中 心 进行 管理 控制 。 


9.1.4 VPN 技术 风险 


VPN 是 一 种 安全 技术 ， 但 是 仍然 存在 技术 风险 。 

(1) VPN 产品 代码 实现 的 安全 缺陷 。VPN 产品 的 实现 涉及 多 种 协议 、 密 码 算法 等 ， 编 程 
处 理 不 当 ， 极 易 导 致 代 码 安全 缺陷 ， 从 而 使 得 VPN 产品 出 现 安全 问题 。 例 如 ，Open SSL 的 
Heartbleed 漏洞 可 以 让 远程 攻击 者 暴露 敏感 数据 。 

(2) VPN 密码 算法 安全 缺陷 。VPN 产品 如 果 选 择 非 安全 的 密码 算法 或 者 选择 不 好 的 密 
码 参数 ， 都 有 可 能 导致 VPN 系统 出 现 安全 问题 ， 不 能 起 到 安全 保护 的 作用 。 例 如 ， 密 钥 长 
度 不 够 。 

(3) VPN 管理 不 当 引 发 的 安全 缺陷 。VPN 的 管理 不 当 导致 密码 泄露 、 非 授权 访问 等 问题 。 


9.2 VPN 类 型 和 实现 技术 


本 节 介绍 VPN 的 类 型 和 实现 技术 。 其 中 ，VPN 的 类 型 包括 链 路 层 VPN、 网 络 层 VPN、 
传输 层 VPN; ”VPN 的 实现 技术 是 密码 算法 、 密 钥 管理 、 认 证 访问 控制 、IPSec、SSL、PPTP 
和 L2TP 等 。 


9.2.1 VPN 类 型 
VPN 有 多 种 实现 技术 ,按照 VPN 在 TCP/IP 协议 层 的 实现 方式 ,可 以 将 其 分 为 链 路 层 VPN、 


网 络 层 VPN、 传 输 层 VPN。 链 路 层 VPN 的 实现 方式 有 ATM、Frame Relay、 多 协议 标签 交换 
MPLS; 网 络 层 VPN 的 实现 方式 有 受 控 路 由 过 滤 、 隧 道 技术 ; 传输 层 VPN 则 通过 SSL 来 实现 。 


9.2.2 ”密码 算法 


VPN 的 核心 技术 是 密码 算法 ，VPN 利用 密码 算法 ， 对 需要 传递 的 信息 进行 加 密 变 换 ， 从 
而 确保 网 络 上 未 授权 的 用 户 无 法 读 取 该 信息 。 目 前 ， 除 了 国外 的 DES、AES、IDE、RSA 等 密 
码 算法 外 ， 国 产 商用 密码 算法 SM1、SM4 分 组 密码 算法 、SM3 杂凑 算法 等 也 都 可 应 用 到 VPN。 
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9.2.3 ” 密 钥 管理 


VPN 加 、 解 密 运算 都 离 不 开 密 钥 ， 因 而 ，VPN 中 密 钥 的 分 发 与 管理 非常 重要 。 密 钥 的 分 
发 有 两 种 方法 : 一 种 是 通过 手工 配置 的 方式 ， 另 一 种 采用 密 钥 交换 协议 动态 分 发 。 手 工 配置 的 
方法 虽然 可 靠 , 但 是 密 钥 更 新 速度 慢 , 一 般 只 适合 简单 网 络 。 而 密 钥 交换 协议 则 采用 软件 方式 ， 
自动 协商 动态 生成 密 钥 ， 密 钥 可 快速 更 新 ， 可 以 显著 提高 VPN 的 安全 性 。 目 前 ， 主 要 的 密 钥 
交换 与 管理 标准 有 SKIP (互联 网 简单 密 钥 管理 协议 ) 和 ISAKMP/Oakley (互联 网 安全 联盟 和 
密 钥 管理 协议 )。 


9.2.4 ”认证 访问 控制 
目前 ，VPN 连接 中 一 般 都 包括 两 种 形式 的 认证 。 
1. 用 户 身份 认证 


在 VPN 连接 建立 之 前 ,VPN 服务 器 对 请 求 建立 连接 的 VPN 客户 机 进行 身份 验证 , 核查 其 
是 否 为 合法 的 授权 用 户 。 如 果 使 用 双向 验证 , 还 需 进 行 VPN 客户 机 对 VPN 服务 器 的 身份 验证 ， 
以 防伪 装 的 非法 服务 器 提供 虚假 信息 。 


2. 数据 完整 性 和 合法 性 认证 


VPN 除了 进行 用 户 认 证 外 , 还 需要 检查 传输 的 信息 是 否 来 自 可 信 源 ， 并 且 确 认 在 传输 过 程 
中 信息 是 否 经 过 算 改 。 


9.2.5 IPSec 


IPSec 是 Internet Protocol Security 的 缩写 。 在 TCP/IP 协议 网 络 中 , 由 于 卫 协议 的 安全 脆弱 
性 ， 如 地 址 假冒 、 易 受 算 改 、 窍 听 等 ，Intemet 工程 组 (IETF) 成 立 了 IPSec 工作 组 ， 研 究 提出 
解决 上 述 问题 的 安全 方案 。 根 据 他 的 安全 需求 ，IPSec 工作 组 制定 了 相关 的 IP 安全 系列 规范 : 
认证 头 (Authentication Header, 简称 AH) 、 封 装 安全 有 效 负 荷 (Encapsulatin Security Payload， 
简称 ESP) 以 及 密 钥 交 换 协 议 。 


1.IPAH 


IPAH 是 一 种 安全 协议 ， 又 称 为 认证 头 协议 。 其 安全 目的 是 保证 王 包 的 完整 性 和 提供 数据 
源 认 证 , 为 他 数据 报 文 提供 无 连接 的 完整 性 、 数 据 源 鉴 别 和 抗 重 放 攻 击 服务 。 其 基本 方法 是 将 
JP 包 的 部 分 内 容 用 加 密 算法 和 Hash 算法 进行 混合 计算 ， 生 成 一 个 完整 性 校 验 值 ， 简 称 ICV 
(Integrity Check Value) ， 同 时 把 ICV 附加 在 他 包 中 ， 如 图 9-2 所 示 。 


图 9-2 IPAH 协议 包 格式 


国 :1:6 国 
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在 TCP/IP 通信 过 程 中 ,IP 包 发 送 之 前 都 事先 计算 好 每 个 他 包 的 ICV， 按 照 PAH 的 协议 
规定 重新 构造 包含 ICV 的 新 他 包 ， 然 后 再 发 送 到 接收 方 。 通 信 接 收 方 在 收 到 用 卫 AH 方式 处 
理 过 的 他 包 后 ,根据 他 包 的 AH 信息 验证 ICV, 从 而 确认 下 包 的 完整 性 和 来 源 ,人 P 认 证 头 (AH) 
的 信息 格式 如 图 9-3 所 示 。 


和 和 ee 
l 1 


! Next Header ! Length 加 RESERVED | 


所 一 一 一 一 一 一 一 一 一 一 一 ee 1 


Security Parameters Index 


图 9-3 IP 认 证 头 (AH) 的 信息 格式 


2.IP ESP 


IP ESP 也 是 一 种 安全 协议 ， 其 用 途 在 于 保证 他 包 的 保密 性 ， 而 人 PAH 不 能 提供 他 包 的 保 
密 性 服务 .IP ESP 的 基本 方法 是 将 也 包 做 加 密 处 理 , 对 整个 人 P 包 或 人 P 的 数据 域 进行 安全 封装 ， 
并 生成 带 有 ESP 协议 信息 的 他 包 ， 然 后 将 新 的 下 包 发 送 到 通信 的 接收 方 。 接 收 方 收 到 后 ， 对 
ESP 进行 解密 ， 去 掉 ESP 头 ， 再 将 原来 的 他 包 或 更 高 层 协议 的 数据 像 普 通 的 他 包 那 样 进行 处 
理 。RFC 1827 中 对 ESP 的 格式 做 了 规定 ，AH 与 ESP 体制 可 以 合用 ， 也 可 以 分 用 。 

IP AH 和 了 P ESP 都 有 两 种 工作 模式 ， 即 透明 模式 〈Transport mode) 和 隧道 模式 〈Tunnel 
Mode) 。 透 明 模式 只 保护 人 P 包 中 的 数据 域 (data payload) ， 而 隧道 模式 则 保护 他 包 的 包头 和 
数据 域 。 因此 , 在 隧道 模式 下 ,将 创建 新 的 他 包头, 并 把 旧 的 下 包 ( 指 需 做 安全 处 理 的 于 包 ) 
作为 新 的 下 包 数 据 。 


3. 密 钥 交换 协议 


基于 IPSec 技术 的 主要 优点 是 它 的 透明 性 ， 安 全 服务 的 提供 不 需要 更 改 应 用 程序 。 但 是 其 
带 来 的 问题 是 增加 网 络 安全 管理 难度 和 降低 网 络 传输 性 能 。 

IPSec 还 涉及 密 钥 管理 协议 ， 即 通信 双方 的 安全 关联 已 经 事先 建立 成 功 ， 建 立 安全 关联 的 
方法 可 以 是 手工 的 或 是 自动 的 .手工 配置 的 方法 比较 简单 ,双方 事先 对 AH 的 安全 密 钥 .ESP 的 
安全 密 钥 等 参数 达成 一 致 ， 然 后 分 别 写 入 双方 的 数据 库 中 。 自 动 的 配置 方法 就 是 双方 的 安全 关 
联 的 各 种 参数 由 KDC (Key Distributed Center) 和 通信 双方 共同 商定 ， 共 同 商定 的 过 程 就 必须 
遵循 一 个 共同 的 协议 ， 这 就 是 密 钥 管理 协议 。 目 前 ，IPSec 的 相关 密 钥 管理 协议 主要 有 互联 网 
密 钥 交换 协议 下 E、 互 联网 安全 关联 与 密 钥 管理 协议 ISAKMP、 密 钥 交 换 协议 Oakley。 

9.2.6 SSL 


SSL 是 Secure Sockets Layer 的 缩写 ， 是 一 种 应 用 于 传输 层 的 安全 协议 ， 用 于 构建 客户 端 
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和 服务 端 之 间 的 安全 通道 。 该 协议 由 Netscape 开发 ， 包 含 握手 协议 、 密 码 规格 变更 协议 、 报 警 
协议 和 记录 层 协 议 。 其 中 ， 握 手 协议 用 于 身份 鉴别 和 安全 参数 协商 ;密码 规格 变更 协议 用 于 通 
知 安全 参数 的 变更 ;报警 协议 用 于 关闭 通知 和 对 错误 进行 报警 ， 记 录 层 协议 用 于 传输 数据 的 分 
段 、 压 缩 及 解压 缩 、 加 密 及 解密 、 完 整 性 校 验 等 。 

SSL 协议 是 介 于 应 用 层 和 TCP 层 之 间 的 安全 通信 协议 。 其 主要 目的 在 于 两 个 应 用 层 之 间 相 
互通 信 时 ， 使 被 传送 的 信息 具有 保密 性 及 可 靠 性 ， 如 图 9-4 所 示 。SSL 的 工作 原理 是 将 应 用 层 
的 信息 加 密 或 签证 处 理 后 经 TCP/IP 网 络 送 至 对 方 ， 收 方 经 验证 无 误 后 解密 还 原 信息 。 


总 


务 器 


服 


L 
P 
后 


9-4 SSL 协议 工作 机 制 


如 图 9-5 所 示 ，SSL 协议 是 一 个 分 层 协议 ， 最 底层 协议 为 SSL 记录 协议 (SSL Record 
Protocol) ， 其 位 于 传输 层 (如 TCP) 之 上 ，SSL 记录 协议 的 用 途 是 将 各 种 不 同 的 较 高 层 协 议 
(如 HITP 或 SSL 握手 协议 ) 封装 后 再 传送 。 另 一 层 协议 为 SSL 握手 协议 (SSL Handshake 
Protocol) ， 由 3 种 协议 组 合 而 成 ， 包 含 握手 协议 (Handshake Protocol) 、 密 码 规格 变更 协议 
(Change Cipher Spec) 及 报警 协议 (Alert protocol) ， 其 用 途 是 在 两 个 应 用 程序 开始 传送 或 接 
收 数据 前 ， 为 其 提供 服务 器 和 客户 端 间 相 互 认证 的 服务 ， 并 相互 协商 决定 双方 通信 使 用 的 加 
密 算 法 及 加 密 密 钥 。 

SSL 协议 提供 三 种 安全 通信 服务 。 

(1) 保密 性 通信 。 握 手 协议 产生 秘密 密 钥 (secret key) 后 才 开始 加 、 解 密 数 据 。 数 据 的 加 、 
解密 使 用 对 称 式 密码 算法 ， 例 如 DES、AES 等 。 

(2) 点 对 点 之 间 的 身份 认证 。 采 用 非 对 称 式 密码 算法 ， 例 如 RSA、DSS 等 。 

(3) 可 靠 性 通信 。 信 息 传送 时 包含 信息 完整 性 检查 , 使 用 有 密 钥 保护 的 消息 认证 码 (Message 
Anuthentication Code， 简 称 MAC ) 。MAC 的 计算 采用 安全 杂凑 函数 ， 例 如 SHA、MD5。 
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Application (HTTP FTP, SMTP ...) 


SSL Handshake SSL Change SSL Alert 
Protocol Cipher Spec. Protocol 
SSL Record Protocol 


Transport Layer (TCP/UDP) 


Network Layer (IP) 


Data Link Layer 


Physical Layer 


9-5 ”SSL 协议 组 成 示意 图 


SSL 记录 协议 (record protocol) 的 数据 处 理 过 程 如 图 9-6 所 示 ， 其 步骤 如 下 : 
(1) SSL 将 数据 (data) 分 割 成 可 管理 的 区 块 长 度 。 
(2) 选择 是 否 要 将 已 分 割 的 数据 压缩 。 


(3) 加 上 消息 认证 码 (MAC) 


(4) 将 数据 加 密 ， 生 成 即将 发 送 的 消息 。 
(5) 接收 端 将 收 到 的 消息 解密 、 验 证 、 解 压缩 ， 再 重组 后 传送 至 较 高 层 〈 例 如 应 用 层 ) ， 


即 完成 接收 。 
应 用 数据 。 ”3 一 一 
分 害 i 一斑 
压缩 pz 
加 MAC ipzl 
加 密 le 
图 9-6 SSL 记录 协议 数据 处 理 示 意图 
927 PPTP 


PPTP 是 Point 一 to 一 Point Tunneling Protocol 的 缩写 ， 它 是 一 个 点 到 点 安全 隧道 协议 。 该 协 


议 的 目标 是 给 电话 上 网 的 用 户 提供 


VPN 安全 服务 。PPTP 是 PPP 协议 的 一 种 扩展 ， 它 提供 了 在 


卫 网 上 构建 安全 通道 机 制 ， 远 程 用 户 通过 PPTP 可 以 在 客户 机 和 PPTP 服务 器 之 间 形 成 一 条 安 


全 隧道 ， 从 而 能 够 保证 远程 用 户 安 
92.8 “L2TP 


全 访问 企业 的 内 部 网 。 


L2TP 是 Layer 2 Tunneling Protocol 的 缩写 ， 用 于 保护 设置 L2TP-enabled 的 客户 端 和 服务 
器 的 通信 。 客 户 端 要求 安 装 L2TP 软件 ,L2TP 采用 专用 的 隧道 协议 , 该 协议 运行 在 UDP 的 1701 


端口 。 
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9.3 ”VPN 主要 产品 与 技术 指标 


VPN 是 网 络 通信 安全 保护 常见 的 产品 技术 ， 本 节 介绍 VPN 的 主要 产品 类 型 和 相关 技术 指标 。 
9.3.1 VPN 主要 产品 


VPN 技术 普遍 应 用 于 网 络 通信 安全 和 网 络 接 入 控制 。 商 业 产品 有 IPSec VPN 网 关 、SSL 
VPN 网 关 ， 或 者 集成 PSec、SSL 安全 功能 的 防火 墙 和 路 由 器 。 开 源 产品 如 StrongSwan、 
OpenSwan、OpenSSL。 目 前 ，VPN 技术 的 主要 产品 特征 如 下 。 


1. IPSec VPN 


IPSec VPN 产品 的 工作 模式 应 支持 隧道 模式 和 传输 模式 ， 其 中 隧道 模式 适用 于 主机 和 网 关 
实现 ， 传 输 模式 是 可 选 功能 ， 仅 适用 于 主机 实现 。 


2.SSL VPN 


SSLVPN 产品 的 工作 模式 分 为 客户 端 -服务 端 模式 、 网 关 - 网 关 模 式 两 种 。 
9.3.2 ”VPN 产品 主要 技术 指标 


国家 密码 管理 局 颁布 了 《IPSec VPN 技术 规范 》《SSL VPN 技术 规范 》， 对 IPSec VPN 和 
SSL VPN 提出 了 要 求 ， 主 要 内 容 介绍 如 下 。 


1. 密码 算法 要 求 


IPSec VPN 使 用 国家 密码 管理 局 批准 的 非 对 称 密码 算法 、 对 称 密码 算法 、 密 码 杂凑 算法 和 
随机 数 生 成 算法 ， 算 法 及 使 用 方法 如 下 : 

。 非 对 称 密码 算法 使 用 1024 比特 RSA 算法 或 256 比特 SM2 椭圆 曲 线 密码 算法 , 用 于 实 
体验 证 、 数 字 签名 和 数字 信封 等 。 

。 ”对 称 密码 算法 使 用 128 比特 分 组 的 SM1 分 组 密码 算法 ,用 于 密 钥 协商 数据 的 加 密 保 护 
和 报 文 数据 的 加 密 保 护 。 该 算法 的 工作 模式 为 CBC 模式 。 

。 ”密码 杂凑 算法 使 用 SHA-1 算法 或 SM3 密码 杂凑 算法 ， 用 于 对 称 密 钥 生成 和 完整 性 校 
验 。 其 中 ，SM3 算法 的 输出 为 256 比特 。 

。 ”随机 数 生成 算法 生成 的 随机 数 应 能 通过 《随机 性 检测 规范 》 规 定 的 检测 。 

SSL VPN 算法 及 使 用 方法 如 下 : 

。 ” 非 对 称 密码 算法 包括 256 位 群 阶 ECC 椭圆 曲线 密码 算法 SM2、IBC 标识 密码 算法 SM9 
和 1024 位 以 上 RSA 算法 。 

。 分 组 密码 算法 为 SM1 算法 , 用 于 密 钥 协 商 数据 的 加 密 保护 和 报 文 数据 的 加 密 保护 。 该 
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算法 的 工作 模式 为 CBC 模式 。 
。 ”密码 杂凑 算法 包括 SM3 算法 和 SHA-1 算法 ， 用 于 密 钥 生成 和 完整 性 校 验 。 


2. VPN 产品 功能 要 求 


IPSec VPN 的 主要 功能 包括 : 随机 数 生成 、 密 钥 协商 、 安 全 报 文 封装 、NAT 穿越 、 身 
份 鉴 别 。 身 份 认证 数据 应 支持 数字 证 书 或 公私 密 钥 对 方式 , 卫 协议 版 本 应 支持 IPv4 协议 或 
JIPv6 协议 。 

SSL VPN 的 主要 功能 包括 : 随机 数 生成 、 密 钥 协商 、 安 全 报 文 传输 、 身 份 鉴别 、 访 问 控制 、 
密 钥 更 新 、 客 户 端 主机 安全 检查 。 


3. VPN 产品 性 能 要 求 


IPSec VPN 主要 性 能 指标 如 下 。 

1) 加 解密 吞吐 率 

加 解密 吞吐 率 是 指 分 别 在 64 字 节 以 太 帧 长 和 1428 字 节 (IPv6 是 1408 字 节 ) 以 太 帧 长 时 ， 
IPSec VPN 产品 在 丢 包 率 为 0 的 条 件 下 内 网 口上 达到 的 双向 数据 最 大 流量 。 产 品 应 满足 用 户 网 
络 环境 对 网 络 数据 加 解密 吞吐 性 能 的 要 求 。 

2) 加 解密 时 延 

加 解密 时 延 是 指 分 别 在 64 字 节 以 太 帧 长 和 1428 字 节 (IPv6 是 1408 字 节 ) 以 太 帧 长 时 ， 
IPSec VPN 产品 在 丢 包 率 为 0 的 条 件 下 ， 一 个 明文 数据 流 经 加 密 变 为 密 文 ， 再 由 密 文 解密 还 原 
为 明文 所 消耗 的 平均 时 间 。 产 品 应 满足 用 户 网 络 环境 对 网 络 数据 加 解密 时 延性 能 的 要 求 。 

3) 加 解密 丢 包 率 

加 解密 丢 包 率 是 指 分 别 在 64 字 节 以 太 帧 长 和 1428 字 节 (IPv6 是 1408 字 节 ) 以 太 帧 长 时 ， 
在 IPSec VPN 产品 内 网 口 处 于 线 速 情况 下 ， 单 位 时 间 内 错误 或 丢失 的 数据 包 占 总 发 数据 包 数 量 
的 百分比 。 产 品 应 满足 用 户 网 络 环境 对 网 络 数据 加 解密 丢 包 率 性 能 的 要 求 。 

4) 每 秒 新 建 连接 数 

每 秒 新 建 连接 数 是 指 IPSec VPN 产品 在 一 秒 钟 的 时 间 单位 内 能 够 建立 隧道 数目 的 最 大 值 。 
产品 应 满足 用 户 网 络 环境 对 每 秒 新 建 连 接 数 性 能 的 要 求 。 

SSL VPN 主要 性 能 指标 如 下 。 

1) 最 大 并 发 用 户 数 
同时 在 线 用 户 的 最 大 数目 ， 此 指标 反映 产品 能 够 同时 提供 服务 的 最 大 用 户 数量 。 
2) 最 大 并 发 连接 数 
同时 在 线 SSL 连接 的 最 大 数目 ， 此 指标 反映 产品 能 够 同时 处 理 的 最 大 SSL 连接 数量 。 
3) 每 秒 新 建 连 接 数 
每 秒 钟 可 以 新 建 的 最 大 SSL 连接 数目 ， 此 指标 反映 产品 每 秒 能 够 接 入 新 SSL 连接 的 能 力 。 
4) 吞吐 率 
在 丢 包 率 为 0 的 条 件 下 ， 服 务 端 产品 在 内 网 口上 达到 的 双向 数据 最 大 流量 。 
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9.4 VPN 技术 应 用 


VPN 技术 是 网 络 通信 保护 常用 安全 措施 ， 本 节 分 析 VPN 技术 的 应 用 场景 类 型 ， 给 出 远程 
安全 访问 、 内 部 安全 专 网 、 外 部 网 络 安全 互联 等 实施 参考 案例 。 


9.4.1 VPN 应 用 场景 


根据 VPN 的 用 途 ，VPN 可 分 为 三 种 应 用 类 型 : 远程 访问 虚拟 网 (Access VPN) 、 企 业内 
部 虚拟 网 (Intranet VPN) 和 企业 扩展 虚拟 网 (Extranet VPN) 。 下面 分 别 说 明 这 三 种 类 型 的 VPN 
情况 。 
9.4.2 ”远程 安全 访问 


Access VPN 主要 解决 远程 用 户 安全 办 公 问 题 ,远程 办 公用 户 既 要 能 远程 获取 到 企业 内 部 网 
信息 ， 又 要 能 够 保证 用 户 和 企业 内 网 的 安全 。 远 程 用 户 利用 VPN 技术 ， 通 过 拨号 、ISDN 等 方 
式 接 入 公司 内 部 网 。Access VPN 一 般 包 含 两 部 分 , 远程 用 户 VPN 客户 端 软件 和 VPN 接 入 设备 ， 
组 成 结构 如 图 9-7 所 示 。 


VPN 网 关 


上 


图 9-7 ”Access VPN 应 用 示意 图 


9.4.3 构建 内 部 安全 专 网 


随 着 业务 的 发 展 变化 ， 企 业 办 公 不 再 集中 在 一 个 地 点 ， 而 是 分 布 在 各 个 不 同 的 地 理 区 域 ， 
甚至 是 跨越 不 同 的 国家 。 因而 , 企业 的 信息 环境 也 随 之 变化 。 针 对 企业 的 这 种 情况 , Intranet VPN 
的 用 途 就 是 通过 公用 网 络 ， 如 因特网 ， 把 分 散在 不 同 地 理 区 域 的 企业 办 公 点 的 局 域 网 安全 互联 
起 来 ， 实 现 企业 内 部 信息 的 安全 共享 和 企业 办 公 自 动 化 。Intranet VPN 的 一 般 组 成 结构 如 图 9-8 
所 示 。 


图 :9 大 。 信息 安全 工程 师 教程 (第 2 版 ) 


号 
局 区 雍 | 己 


VPN 
ey 
rE 公司 分 支 机构 
公司 分 支 机 构 
va 四 
公司 总 部 


9-8 Intranet VPN 组 成 结构 示意 图 


9.4.4 ”外 部 网 络 安 全 互联 


由 于 企业 合作 伙伴 的 主机 和 网 络 分 布 在 不 同 的 地 理 位 置 ,传统 上 一 般 通 过 专线 互 连 实现 信 
息 交 换 ， 但 是 网 络 建设 与 管理 维护 都 非常 困难 ， 造 成 企业 间 的 商业 交易 程序 复杂 化 。Extranet 
VPN 则 是 利用 VPN 技术 ， 在 公共 通信 基础 设施 〈 如 因特网 ) 上 把 合作 伙伴 的 网 络 或 主机 安全 
接 到 企业 内 部 网 ， 以 方便 企业 与 合作 伙伴 共享 信息 和 服务 。Extranet VPN 解决 了 企业 外 部 机 构 
接 入 安全 和 通信 安全 的 问题 ， 同 时 也 降低 了 网 络 建设 成 本 。 


9.5 本章 小 结 
VPN 是 信息 安全 的 重要 保证 技术 之 一 ， 随 着 网 络 应 用 的 深入 ，VPN 将 会 起 到 越 来 越 重要 


的 作用 。 本 章 介 绍 了 VPN 的 基本 概念 和 功能 ， 并 重点 分 析 了 VPN 中 的 关键 技术 和 重要 协议 以 
及 国家 颁布 的 VPN 技术 规范 ， 还 给 出 了 VPN 的 三 种 应 用 参考 案例 。 
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10.1 入 侵 检 测 概述 


入 侵 检测 是 网 络 安全 态势 感知 的 关键 核心 技术 ， 支 撑 构 建 网 络 信息 安全 保障 体系 。 本 节 首 
先 阐 述 入 侵 检测 的 基本 概念 、 入 侵 检测 模型 ， 然 后 介绍 入 侵 检测 的 作用 。 


10.1.1 入侵 检测 概念 


20 世纪 80 年 代 初期 ， 安 全 专家 认为 :“ 入 侵 是 指 未 经 授权 蓄意 尝试 访问 信息 、 算 改 信息 ， 
使 系统 不 可 用 的 行为 。” 美 国 大 学 安全 专家 将 入 侵 定 义 为 “非法 进入 信息 系统 ， 包 括 违反 信息 
系统 的 安全 策略 或 法 律 保护 条 例 的 动作 ”。 我 们 认为 ， 入 侵 应 与 受害 目标 相关 联 ， 该 受害 目标 
可 以 是 一 个 大 的 系统 或 单个 对 象 。 判 断 与 目标 相关 的 操作 是 否 为 入 侵 的 依据 是 : 对 目标 的 操作 
是 否 超出 了 目标 的 安全 策略 范围 。 因 此 ， 入 侵 是 指 违背 访问 目标 的 安全 策略 的 行为 。 入 侵 检测 
通过 收集 操作 系统 、 系 统 程序 、 应 用 程序 、 网 络 包 等 信息 ， 发 现 系统 中 违背 安全 策略 或 危及 系 
统 安全 的 行为 。 具 有 入 侵 检 测 功 能 的 系统 称 为 入 侵 检 测 系统 ， 简 称 为 IDS。 


10.1.2 ”人 侵 检测 模型 


最 早 的 入 侵 检 测 模型 是 由 Denning 给 出 的 ， 该 模型 主要 根据 主机 系统 的 审计 记录 数据 ， 生 
成 有 关系 统 的 若干 轮廓 ， 并 监测 轮廓 的 变化 差异 ， 发 现 系统 的 入 侵 行为 ， 如 图 10-1 所 示 。 


主体 “| [安全 监控 器 客体 
bt 实时 信息 


添加 新 规则 规则 匹配 | 攻击 状态 


更 新 规则 

10-1 入 侵 检测 模型 
随 着 入 侵 行 为 的 种 类 不 断 增多 ， 许 多 攻击 是 经 过 长 时 期 准备 的 。 面 对 这 种 情况 ， 入 侵 检 测 
系统 的 不 同 功能 组 件 之 间 、 不 同 IDS 之 间 共 享 这 类 攻击 信息 是 十 分 重要 的 。 于 是 ， 一 种 通用 的 


入 侵 检测 框架 模型 被 提出 ， 简 称 为 CIDF 。 该 模型 认为 入 侵 检测 系统 由 事件 产生 器 〈event 
generators) 、 事 件 分 析 器 (event analyzers) 、 响 应 单元 (response units) 和 事件 数据 库 (event 
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databases) 组 成 ， 如 图 10-2 所 示 。CIDF 将 入 侵 检测 系统 需要 分 析 的 数据 统称 为 事件 ， 它 可 以 
是 网 络 中 的 数据 包 ， 也 可 以 是 从 系统 日 志 等 其 他 途径 得 到 的 信息 。 事 件 产生 器 从 整个 计算 环境 
中 获得 事件 , 并 向 系统 的 其 他 部 分 提供 事件 。 事件 分 析 器 分 析 所 得 到 的 数据 ， 并 产生 分 析 结 果 。 
响应 单元 对 分 析 结 果 做 出 反应 ， 如 切断 网 络 连接 、 改 变 文件 属性 、 简 单 报警 等 应 急 响 应 。 事 件 
数据 库存 放 各 种 中 间 和 最 终 数据 ， 数 据 存放 的 形式 既 可 以 是 复杂 的 数据 库 ， 也 可 以 是 简单 的 文 
本 文件 。CIDF 模型 具有 很 强 的 扩展 性 ， 目 前 已 经 得 到 广泛 认同 。 


响应 单元 (R-boxes) 


事件 分 析 器 (A-boxes) 


下 


事件 数据 库 (D-boxes) 


事件 产生 器 (E-boxes) 图 


原 事件 来 源 
图 10-2 CIDF 各 组 件 之 间 的 关系 图 


10.1.3 ”人 侵 检测 作用 


入 侵 检 测 系统 在 网 络 安全 保障 过 程 中 扮演 类 似 “ 预 警 机 ”或 “安全 巡逻 人 员 ” 的 角色 ， 入 
侵 检测 系统 的 直接 目的 不 是 阻止 入 侵 事 件 的 发 生 ， 而 是 通过 检测 技术 来 发 现 系统 中 企图 或 已 经 
违背 安全 策略 的 行为 ， 其 作用 表现 为 以 下 几 个 方面 : 

(1) 发 现 受 保护 系统 中 的 入 侵 行为 或 异常 行为 ; 

(2) 检验 安全 保护 措施 的 有 效 性 ; 

(3) 分 析 受 保护 系统 所 面临 的 威胁 ; 

(4) 有 利于 阻止 安全 事件 扩大 ， 及 时 报警 触发 网 络 安全 应 急 响 

(5) 可 以 为 网 络 安全 策略 的 制定 提供 重要 指导 

(6) 报警 信息 可 用 作 网 络 犯罪 取证 。 

除 此 之 外 ， 入 侵 检测 技术 还 常用 于 网 络 安全 态势 感知 ， 以 获取 网 络 信息 系统 的 安全 状况 。 
网 络 安全 态势 感知 平台 通常 汇聚 入 侵 检测 系统 的 报警 数据 ， 特 别 是 分 布 在 不 同安 全 区 域 的 报 
警 ， 然 后 对 其 采取 数据 关联 分 析 、 时 间 序 列 分 析 等 综合 技术 手段 ， 给 出 网 络 安全 状况 判断 及 攻 
击发 展演 变 趋 势 。 


10.2 入侵 检测 技术 


本 节 介 绍 入 侵 检测 实现 技术 ， 主 要 包括 基于 误 用 的 入 侵 检 测 技术 、 基 于 异常 的 入 侵 检 测 技 术 
和 其 他 技术 (包括 基于 规范 的 检测 方法 、 基 于 生物 免疫 的 检测 方法 、 基 于 攻击 诱骗 的 检测 方法 、 基 
于 入 侵 报警 的 关联 检测 方法 、 基 于 沙 箱 动态 分 析 的 检测 方法 、 基 于 大 数据 分 析 的 检测 方法 ) 。 
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10.2.1 基于 误 用 的 人 侵 检 测 技 术 


误 用 入 侵 检测 通常 称 为 基于 特征 的 入 侵 检测 方法 ， 是 指 根据 已 知 的 入 侵 模式 检测 入 侵 行 
为 。 攻 击 者 常常 利用 系统 和 应 用 软件 中 的 漏洞 技术 进行 攻击 ， 而 这 些 基于 漏洞 的 攻击 方法 具有 
某 种 特征 模式 。 如 果 入 侵 者 的 攻击 方法 恰好 匹配 上 检测 系统 中 的 特征 模式 ， 则 入 侵 行为 立即 被 
检测 到 ， 如 图 10-3 所 示 。 


报警 


图 10-3 基于 攻击 模式 匹配 的 原理 图 


显然 ， 误 用 入 侵 检测 依赖 于 攻击 模式 库 。 因 此 ， 这 种 采用 误 用 入 侵 检 测 技术 的 IDS 产品 的 
检测 能 力 就 取决 于 攻击 模式 库 的 大 小 以 及 攻击 方法 的 覆盖 面 。 如 果 攻 击 模式 库 太 小 , 则 IDS 的 
有 效 性 就 大 打折 扣 。 而 如 果 攻 击 模式 库 过 大 ， 则 IDS 的 性 能 会 受到 影响 。 

基于 上 述 分 析 ， 误 用 入 侵 检测 的 前 提 条 件 是 ， 入 侵 行 为 能 够 按 某 种 方式 进行 特征 编码 ， 而 
入 侵 检测 的 过 程 实际 上 就 是 模式 匹配 的 过 程 。 根 据 入 侵 特 征 描述 的 方式 或 构造 技术 ， 误 用 检测 
方法 可 以 进一步 细 分 。 下 面 介绍 几 种 常见 的 误 用 检测 方法 。 

1. 基于 条 件 概率 的 误 用 检测 方法 

基于 条 件 概 率 的 误 用 检测 方法 , 是 将 入 侵 方 式 对 应 一 个 事件 序列 , 然后 观测 事件 发 生 序 列 ， 
应 用 贝 叶 斯 定理 进行 推理 ,推测 入 侵 行为 。 令 ES 表示 某 个 事件 序列 , 发 生 入 侵 的 先 验 概率 为 P 
(Intrusion) ， 发 生 入 侵 时 该 事件 序列 ES 出 现 的 后 验 概率 为 P(ES | Intrusion)〉 ， 该 事件 序列 出 
现 的 概率 为 P(ES) ， 则 有 : 


P(Intrusion) 


Pl(Intrusion | ES) = P(ES | Intrusion) x 
P(ES) 


通常 网 络 安全 员 可 以 给 出 先 验 概率 P (lntrusion) ， 对 入 侵 报告 进行 数据 统计 处 理 可 得 
P(ES | 一 Jntrusion) 和 P(ES | Intrusion) ， 于 是 可 以 计算 出 : 
P(ES)= [Ps |Intrusion)— P(ES | lntrusion)] x P(Intrusion)+ P(ES | ntrusion) 


因此 ， 可 以 通过 对 事件 序列 的 观测 推算 出 P(trusion|ES) 。 基 于 条 件 概率 的 误 用 检测 方 
法 是 基于 概率 论 的 一 种 通用 方法 。 它 是 对 贝 叶 斯 方法 的 改进 ， 其 缺点 是 先 验 概率 难以 给 出 ， 而 
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且 事件 的 独立 性 难以 满足 。 
2. 基于 状态 迁移 的 误 用 检测 方法 


状态 迁移 方法 利用 状态 图 表示 攻击 特征 ,不 同 状 态 刻画 了 系统 某 一 时 刻 的 特征 。 初 始 状态 
对 应 于 入 侵 开始 前 的 系统 状态 ， 危 害 状 态 对 应 于 已 成 功 入 侵 时 刻 的 系统 状态 。 初 始 状 态 与 危害 
状态 之 间 的 迁移 可 能 有 一 个 或 多 个 中 间 状 态 。 攻 击 者 的 操作 将 导致 状态 发 生 迁 移 ， 使 系统 从 初 
始 状态 迁移 到 危害 状态 。 基 于 状态 迁移 的 误 用 检测 方法 通过 检查 系统 的 状态 变化 发 现 系统 中 的 
入 侵 行 为 。 采 用 该 方法 的 IDS 有 STAT (State Transition Analysis Technique) 和 USTAT (State 
Transition Analysis Tool for UNIX) 。 


3. 基于 键盘 监控 的 误 用 检测 方法 


基于 键盘 监控 的 误 用 检测 方法 ， 是 假设 入 侵 行为 对 应 特定 的 击 键 序列 模式 ， 然 后 监测 用 户 
的 击 键 模式 ， 并 将 这 一 模式 与 入 侵 模 式 匹配 ， 从 而 发 现 入侵 行 为 。 这 种 方法 的 缺点 是 ， 在 没有 
操作 系统 支持 的 情况 下 ， 缺 少 捕获 用 户 击 键 的 可 靠 方 法 。 此 外 ， 也 可 能 存在 多 种 击 键 方式 表示 
同一 种 攻击 。 而 且 ， 如 果 没 有 击 键 语义 分 析 ， 用 户 提供 别名 《例如 Kor shell) 很 容易 欺骗 这 种 
检测 技术 。 最 后 ， 该 方法 不 能 够 检测 恶意 程序 的 自动 攻击 。 


4. 基于 规则 的 误 用 检测 方法 


基于 规则 的 误 用 检测 方法 是 将 攻击 行为 或 入 侵 模式 表示 成 一 种 规则 ， 只 要 符合 规则 就 认定 
它 是 一 种 入 侵 行为 。 这 种 方法 的 优点 是 ， 检 测 起 来 比较 简单 ， 但 是 也 存在 缺点 ， 即 检测 受到 规 
则 库 限制 ， 无 法 发 现 新 的 攻击 ， 并 且 容 易 受 干扰 。 目 前 ， 大 部 分 IDS 采用 的 是 这 种 方法 。Snort 
是 典型 的 基于 规则 的 误 用 检测 方法 的 应 用 实例 。 


10.2.2 ”基于 异常 的 入侵 检测 技术 


异常 检测 方法 是 指 通过 计算 机 或 网 络 资 源 统计 分 析 ， 建 立 系统 正常 行为 的 “轨迹 ”， 定 义 一 
组 系统 正常 情况 的 数值 ， 然 后 将 系统 运行 时 的 数值 与 所 定义 的 “正常 "情况 相 比较 ， 得 出 是 否 有 
被 攻击 的 迹象 ， 如 图 10-4 所 示 。 


命令 

系统 调用 
应 用 类 型 
活动 度量 
CPU 使 用 
网 络 连接 


10-4 ”异常 检测 原理 图 
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但 是 ， 异 常 检测 的 前 提 是 异常 行为 包括 入 侵 行为 。 理 想 情况 下， 异常 行 为 集合 等 同 于 入 侵 
行为 集合 ， 此 时 ， 如 果 IDS 能 够 检测 到 所 有 的 异常 行为 ， 则 表明 能 够 检测 到 所 有 的 入 侵 行为 。 
但 是 在 现实 中 ， 入 侵 行为 集合 通常 不 等 同 于 异常 行为 集合 。 事 实 上 ， 具 体 的 行为 有 4 种 状况 : 
@@ 行 为 是 入 侵 行为 ， 但 不 表现 异常 ，@ 行 为 不 是 入 侵 行为 ， 却 表现 异常 ，@@ 行 为 既 不 是 入 侵 行 
为 ， 也 不 表现 异常 ，@ 行 为 是 入 侵 行为 ， 且 表现 异常 。 异常 检测 方法 的 基本 思路 是 构造 异常 行 
为 集合 ， 从 中 发 现 入 侵 行为 。 异常 检测 依赖 于 异常 模型 的 建立 , 不 同 模型 构成 不 同 的 检测 方法 。 
下 面 介绍 几 种 常见 的 异常 检测 方法 。 


1. 基于 统计 的 异常 检测 方法 


基于 统计 的 异常 检测 方法 就 是 利用 数学 统计 理论 技术 , 通过 构建 用 户 或 系统 正常 行为 的 特 
征 轮廓 。 其 中 统计 性 特征 轮廓 通常 由 主体 特征 变量 的 频 度 、 均 值 、 方 差 、 被 监控 行为 的 属性 变 
量 的 统计 概率 分 布 以 及 偏差 等 统计 量 来 描述 。 典型 的 系统 主体 特征 有 : 系统 的 登录 与 注销 时 间 
资源 被 占用 的 时 间 以 及 处 理 机 、 内 存 和 外 设 的 使 用 情况 等 。 至 于 统计 的 抽样 周期 可 以 从 短 到 几 
分 钟 到 长 达 几 个 月 甚至 更 长 。 基 于 统计 性 特征 轮廓 的 异常 性 检测 器 ， 对 收集 到 的 数据 进行 统计 
处 理 ， 并 与 描述 主体 正常 行为 的 统计 性 特征 轮廓 进 行 比较 ， 然 后 根据 二 者 的 偏差 是 否 超过 指定 
的 门限 来 进一步 判断 、 处 理 。 许 多 入 侵 检 测 系统 或 系统 原型 都 采用 了 这 种 统计 模型 。 


2. 基于 模式 预测 的 异常 检测 方法 


基于 模式 预测 的 异常 检测 方法 的 前 提 条 件 是 : 事件 序列 不 是 随机 发 生 的 而 是 服从 某 种 可 辨 
别 的 模式 ， 其 特点 是 考虑 了 事件 序列 之 间 的 相互 联系 。 安 全 专家 Teng 和 Chen 给 出 了 一 种 基于 
时 间 的 推理 方法 , 利用 时 间 规 则 识别 用 户 正常 行为 模式 的 特征 。 通过 归纳 学 习 产 生 这 些 规则 集 ， 
并 能 动态 地 修改 系统 中 的 这 些 规 则 ， 使 之 具有 较 高 的 预测 性 、 准 确 性 和 可 信 度 。 如 果 规 则 大 部 
分 时 间 是 正确 的 ， 并 能 够 成 功 地 用 于 预测 所 观察 到 的 数据 ， 那 么 规则 就 具有 较 高 的 可 信 度 。 例 
如 ，TIM (Time-based Inductive Machine) 给 出 下 述 产 生 规则 : 


(EllE21E3)(E4= 95%,E5= 5%) 


其 中 ，E1~E5 表示 安 全 事件 。 上 述 规 则 说 明 ， 事 件 发 生 的 顺序 是 E1，E2，E3，E4，E5。 事件 
E4 发 生 的 概率 是 95%， 事 件 ES 发 生 的 概率 是 5%。 通 过 事件 中 的 临时 关系 ，TIM 能 够 产生 更 
多 的 通用 规则 。 根 据 观 察 到 的 用 户 行为 ， 归 纳 产 生出 一 套 规则 集 ， 构 成 用 户 的 行为 轮廓 框架 。 
如 果 观 测 到 的 事件 序列 匹配 规则 的 左边 ， 而 后 续 的 事件 显著 地 背离 根据 规则 预测 到 的 事件 ， 那 
么 系统 就 可 以 检测 出 这 种 偏离 ， 表 明 用 户 操作 异常 。 这 种 方法 的 主要 优点 有 : 外 能 较 好 地 处 理 
变化 多 样 的 用 户 行为 ， 并 具有 很 强 的 时 序 模式 ，@@ 能 够 集中 考察 少数 几 个 相关 的 安全 事件 ， 而 
不 是 关注 可 疑 的 整个 登录 会 话 过 程 ，@ 容 易 发 现 针对 检测 系统 的 攻击 。 


3. 基于 文本 分 类 的 异常 检测 方法 
基于 文本 分 类 的 异常 检测 方法 的 基本 原理 是 将 程序 的 系统 调用 视 为 某 个 文档 中 的 “ 字 ”， 
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而 进程 运行 所 产生 的 系统 调用 集合 就 产生 一 个 “文档 ”。 对 于 每 个 进程 所 产生 的 “文档 ”， 利 
用 开 - 最 近邻 聚 类 (K-Nearest Neighbor) 文本 分 类 算法 ， 分 析 文 档 的 相似 性 ， 发 现 异常 的 系统 调 
用 ， 从 而 检测 入 侵 行为 。 


4. 基于 贝 叶 斯 推理 的 异常 检测 方法 


基于 贝 叶 斯 推理 的 异常 检测 方法 ， 是 指 在 任意 给 定 的 时 刻 ， 测 量 41，42，…4n 变量 值 ， 
推理 判断 系统 是 否 发 生 入 侵 行 为 。 其 中 ， 每 个 变量 年 表示 系统 某 一 方面 的 特征 ， 例 如 磁盘 IO 
的 活动 数量 、 系 统 中 页 面 出 错 的 数目 等 。 假 定 变量 4; 可 以 取 两 个 值 : 1 表示 异常 ，0 表示 正常 。 
令 了 表示 系统 当前 遭受 的 入 侵 攻 击 。 每 个 异常 变量 4; 的 异常 可 靠 性 和 敏感 性 分 别 用 
P(4;=117) 和 P(4, =1I” DT 表示 。 于 是 , 在 给 定 每 个 年 值 的 条 件 下 , 由 贝 叶 斯 定理 得 出 7 了 的 
可 信 度 为 : 


P(7) 


P(IT|As 554.) P(4, 4 34; [IDX Fm pay 


其 中 ， 要 求 给 出 7 和 一 7 的 联合 概率 分 布 。 假 定 每 个 测量 4; 仅 与 7 相关， 与 其 他 的 测量 条 件 
4 (i 有) 无 关 ， 则 有 : 


Plasdys sd WS ,PC 
PC 4, 和 1nD=T PPD 
从 而 得 到 : 


BT A A PPE | dp A 
P(oTIAd,dy,, Ads) PT TI P(A 1-1) 


因此 ， 根 据 各 种 异常 测量 的 值 、 入 侵 的 先 验 概率 、 入 侵 发 生 时 每 种 测量 得 到 的 异常 概率 ， 
就 能 够 判断 系统 入 侵 的 概率 。 但 是 为 了 保证 检测 的 准确 性 , 还 需要 考查 各 变量 4; 之 间 的 独立 性 。 
一 种 方法 是 通过 相关 性 分 析 ， 确 定 各 异常 变量 与 入 侵 的 关系 。 


10.2.3 其 他 


1. 基于 规范 的 检测 方法 


基于 规范 的 入 侵 检测 方法 (specification-based intrusion detection) 介 于 异常 检测 和 误 用 检 
测 之 间 ， 其 基本 原理 是 ， 用 一 种 策略 描述 语言 PE-grammars 事先 定义 系统 特权 程序 有 关 安 全 的 
操作 执行 序列 ， 每 个 特权 程序 都 有 一 组 安全 操作 序列 ， 这 些 操作 序列 构成 特权 程序 的 安全 跟踪 
策略 (trace policy) 。 若 特权 程序 的 操作 序列 不 符合 已 定义 的 操作 序列 ， 就 进行 入 侵 报警 。 这 
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种 方法 的 优点 是 ， 不 仅 能 够 发 现 已 知 的 攻击 ， 而 且 也 能 发 现 未 知 的 攻击 。 
2. 基于 生物 免疫 的 检测 方法 


基于 生物 免疫 的 检测 方法 ， 是 指 模仿 生物 有 机 体 的 免疫 系统 工作 机 制 ， 使 受 保护 的 系统 能 
够 将 “ 非 自我 (non-self) ”的 攻击 行为 与 “自我 (self) ”的 合法 行为 区 分 开 来 。 该 方法 综合 
了 异常 检测 和 误 用 检测 两 种 方法 ， 其 关键 技术 在 于 构造 系统 “自我 ”标志 以 及 标志 演变 方法 。 


3. 基于 攻击 诱骗 的 检测 方法 


基于 攻击 诱骗 的 检测 方法 ， 是 指 将 一 些 虚假 的 系统 或 漏洞 信息 提供 给 入 侵 者 ， 如 果 入 侵 者 
应 用 这 些 信 息 攻击 系统 ， 就 可 以 推断 系统 正在 遭受 入 侵 ， 并 且 安 全 管理 员 还 可 以 诱惑 入 侵 者 ， 
进一步 跟踪 攻击 来 源 。 


4. 基于 入 侵 报警 的 关联 检测 方法 


基于 入 侵 报 警 的 关联 检测 方法 是 通过 对 原始 的 IDS 报警 事件 的 分 类 及 相关 性 分 析 来 发 现 
复杂 攻击 行为 。 其 方法 可 以 分 为 三 类 : 第 一 类 基于 报警 数据 的 相似 性 进行 报警 关联 分 析 ; 第 二 
类 通过 人 为 设置 参数 或 通过 机 器 学 习 的 方法 进行 报警 关联 分 析 ; 第 三 类 根据 某 种 攻击 的 前 提 条 
件 与 结果 (preconditions and consequences) 进行 报警 关联 分 析 。 基 于 入 侵 报警 的 关联 检测 方法 ， 
有 助 于 在 大 量 报警 数据 中 挖掘 出 潜在 的 关联 安全 事件 ， 消 除 元 余 安 全 事件 ， 找 出 报警 事件 的 相 
关 度 及 关联 关系 ， 从 而 提高 入 侵 判 定 的 准确 性 。 


$5. 基于 沙 箱 动态 分 析 的 检测 方法 
基于 沙 箱 动 态 分 析 的 检测 方法 是 指 通 过 构建 程序 运行 的 受 控 安全 环境 ,形成 程序 运行 安全 


沙 箱 ， 然 后 监测 可 疑 恶意 文件 或 程序 在 安全 沙 箱 的 运行 状况 ， 获 取 可 疑 恶 意 文件 或 可 疑 程 序 的 
动态 信息 ， 最 后 检测 相关 信息 是 否 异常 ， 从 而 发 现 入 侵 行为 。 


6. 基于 大 数据 分 析 的 检测 方法 


基于 大 数据 分 析 的 检测 方法 是 指 通过 汇聚 系统 日 志 、IDS 报警 日 志 、 防 火 墙 日 志 、DNS 日 
志 、 网 络 威胁 情报 、 全 网 流量 等 多 种 数据 资源 ， 形 成 网 络 安全 大 数据 资源 池 ， 然 后 利用 人 工 智 
能 技术 ， 基 于 网 络 安全 大 数据 进行 机 器 学 习 ， 以 发 现 入 侵 行 为 。 常 见 的 大 数据 分 析 检 查 技术 有 
数据 挖掘 、 深 度 学 习 、 数 据 关联 、 数 据 可 视 化 分 析 等 。 


10.3 入侵 检测 系统 组 成 与 分 类 


本 节 介 绍 入 侵 检测 系统 的 组 成 结构 和 类 型 ， 主 要 包括 基于 主机 的 入 侵 检 测 系统 、 基 于 网 络 
的 入 侵 检 测 系统 和 分 布 式 入 侵 检测 系统 。 
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10.3.1 人 侵 检测 系统 组 成 


一 个 入 侵 检测 系统 主要 由 以 下 功能 模块 组 成 : 数据 采集 模块 、 入 侵 分 析 引 擎 模块 、 应 急 处 
理 模块 、 管 理 配置 模块 和 相关 的 辅助 模块 。 数 据 采集 模块 的 功能 是 为 入 侵 分 析 引 擎 模块 提供 分 
析 用 的 数据 ， 包 括 操作 系统 的 审计 日 志 、 应 用 程序 的 运行 日 志和 网 络 数据 包 等 。 入 侵 分 析 引 擎 
模块 的 功能 是 依据 辅助 模块 提供 的 信息 (如 攻击 模式 ) ， 根 据 一 定 的 算法 对 收集 到 的 数据 进行 
分 析 ， 从 中 判断 是 否 有 入 侵 行 为 出 现 ， 并 产生 入 侵 报 警 。 该 模块 是 入 侵 检测 系统 的 核心 模块 。 
管理 配置 模块 的 功能 是 为 其 他 模块 提供 配置 服务 ， 是 IDS 系统 中 的 模块 与 用 户 的 接口 。 应 急 处 
理 模块 的 功能 是 发 生 入 侵 后 ， 提 供 紧急 响应 服务 ， 例 如 关闭 网 络 服务 、 中 断 网 络 连接 、 启 动 备 
份 系统 等 。 辅 助 模块 的 功能 是 协助 入 侵 分 析 引 擎 模块 工作 ， 为 它 提 供 相 应 的 信息 ， 例 如 攻击 特 
征 库 、 漏 洞 信 息 等 。 图 10-5 给 出 了 一 个 通用 的 入 侵 检测 系统 结构 。 


攻击 模式 库 


报警 


入 侵 检测 器 一 > 应 急 措 施 


审计 记录 /协议 玫 据 等 | se 
| 数据 采集 安全 控制 
T J 
| 系统 


10-5 通用 的 入 侵 检测 系统 示意 图 


图 中 的 系统 是 一 个 广泛 的 概念 ， 可 能 是 工作 站 、 网 段 、 服 务 器 、 防 火 墙 、Web 服务 器 、 企 
业 网 等 。 虽 然 每 一 种 IDS 在 概念 上 是 一 致 的 ， 但 在 具体 实现 时 ， 所 采用 的 分 析 数 据 方法 、 采 集 
数据 以 及 保护 对 象 等 关键 方面 还 是 有 所 区 别 的 .根据 IDS 的 检测 数据 来 源 和 它 的 安全 作用 范围 ， 
可 将 IDS 分 为 三 大 类 : 第 一 类 是 基于 主机 的 入 侵 检测 系统 (简称 HIDS) ， 即 通过 分 析 主 机 的 
信息 来 检测 入 侵 行 为 ;第 二 类 是 基于 网 络 的 入 侵 检测 系统 〈 简 称 NIDS) ， 即 通过 获取 网 络 通 
信 中 的 数据 包 ， 对 这 些 数据 包 进 行 攻击 特征 扫描 或 异常 建 模 来 发 现 入 侵 行为 ， 第 三 类 是 分 布 式 
入 侵 检 测 系统 (简称 DIDS) ， 从 多 台 主 机 、 多 个 网 段 采 集 检测 数据 ， 或 者 收集 单个 IDS 的 报 
警 信息 ， 根 据 收集 到 的 信息 进行 综合 分 析 ， 以 发 现 入 侵 行为 。 


10.3.2 ”基于 主机 的 入侵 检测 系统 


基于 主机 的 入 侵 检 测 系统 ,简称 为 HIDS。HIDS 通过 收集 主机 系统 的 日 志文 件 、 系 统 调用 
以 及 应 用 程序 的 使 用 、 系 统 资源 、 网 络 通信 和 用 户 使 用 等 信息 ， 分 析 这 些 信息 是 否 包含 攻击 特 
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征 或 异常 情况 ， 并 依 此 来 判断 该 主机 是 否 受到 入 侵 。 由 于 入 侵 行为 会 引起 主机 系统 的 变化 ， 因 
此 在 实际 的 HIDS 产品 中 ，CPU 利用 率 、 内 存 利用 率 、 磁 盘 空间 大 小 、 网 络 端口 使 用 情况 、 注 
册 表 、 文 件 的 完整 性 、 进 程 信息 、 系 统 调用 等 常 作为 识别 入 侵 事件 的 依据 。HIDS 一 般 适 合 检 
测 以 下 入 侵 行 为 : 

。 ”针对 主机 的 端口 或 漏洞 扫描 ; 

。 ”重复 失败 的 登入 尝试 ; 

。 ”远程 口令 破解 ; 

。 ”主机 系统 的 用 户 账号 添加 ; 

。 ”服务 启动 或 停止 ; 

。 ”系统 重启 动 ; 

。 ”文件 的 完整 性 或 许可 权 变 化 ; 

。 ”注册 表 修 改 ; 

。 ”重要 系统 启动 文件 变更 ; 

。 程序 的 异常 调用 ; 

。 ”拒绝 服务 攻击 。 

HIDS 中 的 软件 有 许多 ， 下 面 列举 几 个 例子 来 说 明 。 


1. SWATCH 


SWATCH (The Simple WATCHer and filer) 是 Todd Atkins 开发 的 用 于 实时 监视 日 志 的 
PERL 程序 。SWATCH 利用 指定 的 触发 器 监视 日 志 记 录 ， 当 日 志 记录 符合 触发 器 条 件 时 ， 
SWATCH 会 按 预 先 定义 好 的 方式 通知 系统 管理 员 。SWATCH 有 一 个 很 有 用 的 安装 脚本 ， 可 以 
将 所 有 的 库 文件 、 手 册页 和 PERL 文件 复制 到 相应 目录 下 。 安 装 完成 后 ， 只 要 创建 一 个 配置 文 
件 ， 就 可 以 运行 程序 了 。 


2. Tripwire 


Tripwire 是 一 个 文件 和 目录 完整 性 检测 工具 软件 包 ， 用 于 协助 管理 员 和 用 户 监测 特定 文件 
的 变化 。Tripwire 根据 系统 文件 的 规则 设置 ， 将 已 破坏 或 被 算 改 的 文件 通知 系统 管理 员 ， 因 而 
常 作为 损害 控制 测量 工具 。 


3. 网 页 防 自 改 系统 


网 页 防 算 改 系统 的 基本 作用 是 防止 网 页 文件 被 入 侵 者 非法 修改 , 即 在 页 面 文件 被 算 改 后 , 能 
够 及 时 发 现 、 产 生 报警 、 通 知 管理 员 、 自 动 恢复 。 其 工作 原理 是 将 所 要 监测 的 网 页 文件 生成 完整 
性 标记 ， 一 旦 发 现 网 页 文件 的 完整 性 受到 破坏 ， 则 启动 网 页 备份 系统 ， 恢 复 正常 的 网 页 。 

基于 主机 的 入 侵 检测 系统 的 优点 : 

。 ”可 以 检测 基于 网 络 的 入 侵 检 测 系统 不 能 检测 的 攻击 ; 
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。 ”基于 主机 的 入 侵 检测 系统 可 以 运行 在 应 用 加 密 系统 的 网 络 上 ， 只 要 加 密 信息 在 到 达 被 


监控 的 主机 时 或 到 达 前 解密 ; 
。 ”基于 主机 的 入 侵 检 测 系 统 可 以 运行 在 交换 网 络 中 。 
基于 主机 的 入 侵 检测 系统 的 缺点 : 
。 必须 在 每 个 被 监控 的 主机 上 都 安装 和 维护 信息 收集 模块 ; 


。 ”由 于 HIDS 的 一 部 分 安装 在 被 攻击 的 主机 上 ，HIDS 可 能 受到 攻击 并 被 攻击 者 破坏 ; 


。 HIDS 占用 受 保护 的 主机 系统 的 系统 资源 ， 降 低 了 主机 系统 的 性 能 ; 
。 不 能 有 效 地 检测 针对 网 络 中 所 有 主机 的 网 络 扫 描 ; 

。 不 能 有 效 地 检测 和 处 理 拒绝 服务 攻击 ; 

。 ”只 能 使 用 它 所 监控 的 主机 的 计算 资源 。 


10.3.3 ”基于 网 络 的 人 侵 检 测 系统 


基于 网 络 的 入 侵 检测 系 统 ， 简 称 为 NIDS。NIDS 通过 侦 听 网 络 系统 ， 捕 获 网 络 数据 包 ， 并 
依据 网 络 包 是 否 包含 攻击 特征 ， 或 者 网 络 通信 流 是 否 异 常 来 识别 入 侵 行 为 。NIDS 通常 由 一 组 


用 途 单一 


的 计算 机 组 成 ， 其 构成 多 分 为 两 部 分 : 探测 器 和 管理 控制 器 。 探 测 器 分 布 在 网 络 中 的 


不 同 区 域 ， 通 过 侦 听 《〈 嗅 探 ) 方式 获取 网 络 包 ， 探 测 器 将 检测 到 攻击 行为 形成 报警 事件 ， 向 管 
理 控制 器 发 送 报警 信息 ， 报 告发 生 入 侵 行 为 。 管 理 控制 器 可 监控 不 同 网 络 区 域 的 探测 器 ， 接 收 
来 自 探测 器 的 报警 信息 。 一 般 说 来 ，NIDS 能 够 检测 到 以 下 入 侵 行 为 : 


。 ”同步 风暴 (SYN Flood) ; 

。 ”分 布 式 拒绝 服务 攻击 (DDoS); 
。 ”网 络 扫描 ; 

。 ”缓冲 区 溢出 ; 

。 ”协议 攻击 ; 

。 流量 异常 ; 

。 ”非法 网 络 访问 。 


当前 , NIDS 的 软件 产品 有 许多 , 国外 产品 有 Session Wall、 ISS RealSecure、 Cisco Secure IDS 


国内 的 IDS 产品 公司 有 东软 集团 、 北 京 天 融 信 网 络 安全 技术 有 限 公 司 、 绿 盟 科 技 集 


团 股 份 


有 限 公司 、 华 为 技术 有 限 公 司 等 。 此 外 ， 因 特 网 上 有 公开 源 代码 的 网 络 入 侵 检 测 系统 Snort。 

Snort 是 轻 量 型 的 NIDS， 它 首先 通过 libpcap 软件 包 监 昕 sniffer/logger〉 获得 网 络 数据 包 ， 然 
后 进行 入 侵 检测 分 析 。 其 主要 方法 是 基于 规则 的 审计 分 析 , 进行 包 的 数据 内 容 搜索 /匹配 。 目前 ， 
Snort 能 检测 缓冲 区 溢出 、 端 口 扫描 、CGI 攻击 、SMB 探测 等 多 种 攻击 ， 还 具有 实时 报警 功能 。 


基于 网 络 的 入 侵 检测 系统 的 优点 : 

。 适当 的 配置 可 以 监控 一 个 大 型 网 络 的 安全 状况 ; 

。 ”基于 网 络 的 入 侵 检 测 系 统 的 安装 对 已 有 网 络 影响 很 小 ， 通 常 属于 被 动 型 的 设备 
只 监听 网 络 而 不 干扰 网 络 的 正常 运作 ; 


， 它 们 
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。 ”基于 网 络 的 入 侵 检测 系统 可 以 很 好 地 避免 攻击 ， 对 于 攻击 者 甚至 是 不 可 见 的 。 

基于 网 络 的 入 侵 检测 系统 的 缺点 : 

。 在 高 速 网 络 中 ，NIDS 很 难处 理 所 有 的 网 络 包 ， 因 此 有 可 能 出 现 漏 检 现 象 ; 

。 ”交换 机 可 以 将 网 络 分 为 许多 小 单元 VLAN， 而 多 数 交 换 机 不 提供 统一 的 监测 端口 ， 这 
就 减少 了 基于 网 络 的 入 侵 检测 系统 的 监测 范围 ; 

。 ”如 果 网 络 流量 被 加 密 ，NIDS 中 的 探测 器 无 法 对 数据 包 中 的 协议 进行 有 效 的 分 析 ; 

。 NIDS 仅 依 靠 网 络 流量 无 法 推 知 命令 的 执行 结果 ， 从 而 无 法 判断 攻击 是 否 成 功 。 


10.3.4 分布 式 人 侵 检测 系统 


网 络 系统 结构 的 复杂 化 和 大 型 化 ， 带 来 许多 新 的 入 侵 检 测 问 题 。 

(1) 系统 的 漏洞 分 散在 网 络 中 的 各 个 主机 上 , 这 些 弱 点 有 可 能 被 攻击 者 一 起 用 来 攻击 网 络 ， 
仅 依靠 基于 主机 或 网 络 的 IDS 不 会 发 现 入 侵 行为 。 

(2) 入 侵 行为 不 再 是 单一 的 行为 ， 而 是 相互 协作 的 入 侵 行为 。 

(3) 入 侵 检测 所 依靠 的 数据 来 源 分 散 化 ， 收 集 原始 的 检测 数据 变 得 困难 。 如 交换 型 网 络 使 
监听 网 络 数据 包 受到 限制 。 

(4) 网 络 传输 速度 加 快 ， 网 络 的 流量 增 大 ， 集 中 处 理 原始 数据 的 方式 往往 造成 检测 瓶颈 ， 
从 而 导致 漏 检 。 

面 对 这 些 新 的 入 侵 检测 问题 ， 分 布 式 入 侵 检测 系统 应 运 而 生 ， 它 可 以 跨越 多 个 子 网 检测 攻 
击 行为 ， 特 别 是 大 型 网 络 。 分 布 式 入 侵 检 测 系统 可 以 分 成 两 种 类 型 ， 即 基于 主机 检测 的 分 布 式 
入 侵 检测 系统 和 基于 网 络 的 分 布 式 入 侵 检测 系统 。 


1. 基于 主机 检测 的 分 布 式 入 侵 检 测 系统 


基于 主机 检测 的 分 布 式 入 侵 检测 系统 ,简称 为 HDIDS， 其 结构 分 为 两 个 部 分 : 主机 探测 器 
和 入 侵 管 理 控 制 器 。HDIDS 将 主机 探测 器 按 层次 、 分 区 域 地 配置 、 管 理 ， 把 它们 集成 为 一 个 可 
用 于 监控 、 保 护 分 布 在 网 络 区 域 中 的 主机 系统 。HDIDS 用 于 保护 网 络 的 关键 服务 器 或 其 他 具有 
敏感 信息 的 系统 ， 利 用 主机 的 系统 资源 、 系 统 调 用 、 审 计 日 志 等 信息 ， 判 断 主机 系统 的 运行 是 
否 遵循 安全 规则 。 在 实际 工作 过 程 中 ， 主 机 探测 器 多 以 安全 代理 (Agent) 的 形式 直接 安装 在 
每 个 被 保护 的 主机 系统 上 ， 并 通过 网 络 中 的 系统 管理 控制 台 进 行 远程 控制 。 这 种 集中 式 的 控 
制 方式 ， 便 于 对 系统 进行 状态 监控 、 管 理 以 及 对 检测 模块 的 软件 进行 更 新 。HDIDS 的 典型 配 
置 如 图 10-6 所 示 。 


2. 基于 网 络 的 分 布 式 入 侵 检测 系统 


HDIDS 只 能 保护 主机 的 安全 , 而 且 要 在 每 个 受 保护 主机 系统 上 配置 一 个 主机 的 探测 器 , 如 
果 当 网 络 中 需要 保护 的 主机 系统 比较 多 时 ， 其 安装 配置 的 工作 量 非常 大 。 此 外 ， 对 于 一 些 复杂 
攻击 , 主机 探测 器 无 能 为 力 。 因此， 需要 使 用 基于 网 络 的 分 布 式 入 侵 检测 系统 ,简称 为 NDIDS。 
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NDIDS 的 结构 分 为 两 部 分 : 网 络 探测 器 和 管理 控制 器 。 网 络 探测 器 部 署 在 重要 的 网 络 区 域 ， 如 
服务 器 所 在 的 网 段 ， 用 于 收集 网 络 通信 数据 和 业务 数据 流 ， 通 过 采用 异常 和 误 用 两 种 方法 对 收 
集 到 的 信息 进行 分 析 ， 若 出 现 攻 击 或 异常 网 络 行为 ， 就 向 管理 控制 器 发 送 报警 信息 。 网 络 入 侵 
检测 系统 功能 模块 的 分 布 式 配置 及 管理 如 图 10-7 所 示 。 
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图 10-6 基于 主机 的 入 侵 检测 系统 典型 配置 
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图 10-7 网络 入 侵 检测 系统 功能 模块 的 分 布 式 配置 及 管理 


NDIDS 一 般 适 用 于 大 规模 网 络 或 者 是 地 理 区 域 分 散 的 网 络 ,采用 这 种 结构 有 利于 实现 网 络 
的 分 布 式 安全 管理 。 现 在 市 场 上 的 网 络 入 侵 系 统一 般 支 持 分 布 式 结构 。 

综 上 所 述 ， 分 布 式 IDS 的 系统 结构 能 够 将 基于 主机 和 网 络 的 系统 结构 结合 起 来 , 检测 所 用 
到 的 数据 源 丰 富 ， 可 以 克服 前 两 者 的 弱点 。 但 是 ， 由 于 是 分 布 式 的 结构 ， 所 以 也 带 来 了 新 的 弱 
点 。 例 如 ， 传 输 安 全 事件 过 程 中 增加 了 通信 的 安全 问题 处 理 ， 安 全 管理 配置 复杂 度 增加 等 。 


10.4 入 侵 检测 系统 主要 产品 与 技术 指标 


入 侵 检测 系统 是 常见 的 网 络 安全 产品 ， 产 品类 型 有 主机 入 侵 检测 系统 、 网 络 入 侵 检 测 系统 以 
及 统一 威胁 管理 、 高 级 持续 威胁 检测 。 下 面 将 介绍 入 侵 检 测 相关 产品 类 型 的 特点 、 主 要 技术 指标 。 
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10.4.1 人 侵 检测 相关 产品 

入 侵 检测 是 网 络 安全 监测 与 预警 的 核心 关键 技术 ， 其 产品 技术 日 渐 成 熟 完善 。 目 前 ， 常 见 
的 入 侵 检 测 相关 产品 有 如 下 几 类 。 

1. 主机 入 侵 检测 系统 

产品 技术 原理 是 根据 主机 活动 信息 及 重要 文件 ， 采 用 特征 匹配 、 系 统 文件 监测 、 安 全 规则 
符合 检查 、 文 件数 字 指纹 、 大 数据 分 析 等 综合 技术 方法 发 现 入 侵 行为 。 典 型 产品 形态 有 终端 安 
全 产品 ， 如 北 信 源 主机 监控 审计 系统 、360 安全 卫士 、McAfee MVISION Endpoint Detection and 
Response (EDR) 等 。 


2. 网 络 入 侵 检 测 系统 


产品 技术 原理 是 根据 网 络 流量 数据 进行 分 析 ， 利 用 特征 检测 、 协 议 异 常 检测 等 技术 方法 发 
现 入 侵 行为 。 以 绿 盟 科技 集团 股份 有 限 公 司 的 IDS 为 例 ， 其 产品 技术 结构 如 图 10-8 所 示 。 


硬件 加 未 


图 10-8 ” 绿 盟 科技 网 络 入 侵 检测 系统 体系 架构 


1205 


国 2o6 硕 。 信息 安全 工程 师 教程 (第 2 版 ) 


北京 天 融 信 网 络 安全 技术 有 限 公 司 、 启 明星 辰 信息 技术 集团 股份 有 限 公司 等 国内 安全 公司 
也 都 提供 此 类 产品 。 


3. 统一 威胁 管理 


统一 威胁 管理 (简称 为 UTM) 通常 会 集成 入 侵 检测 系统 相关 的 功能 模块 ， 是 入 侵 检测 技 
术 产 品 的 表现 形态 之 一 。 统一 威胁 管理 是 由 硬件 、 软 件 和 网 络 技术 组 成 的 具有 专门 用 途 的 设备 ， 
该 设备 主要 提供 一 项 或 多 项 安全 功能 ， 同 时 将 多 种 安全 特性 集成 于 一 个 硬件 设备 里 ， 形 成 标准 
的 统一 威胁 管理 平台 。 其 通过 统一 部 署 的 安全 策略 ， 融 合 多 种 安全 功能 ， 是 针对 网 络 及 应 用 系 
统 的 安全 威胁 进行 综合 防御 的 网 关 型 设备 或 系统 。UTM 通常 部 署 在 内 部 网 络 与 外 部 网 络 的 边 
界 ， 对 流出 和 进入 内 部 网 络 的 数据 进行 保护 和 控制 。UTM 在 实际 网 络 中 的 部 署 方式 通常 包括 
透明 网 桥 、 路 由 转发 和 NAT 网 关 。 


高 级 持续 威胁 检测 
高 级 持续 威胁 简称 为 APT) 是 复杂 性 攻击 技术 ， 通 常 将 恶意 代码 嵌入 Word 文档 、Excel 
文档 、PPT 文档 、PDF 文档 或 电子 邮件 中 ， 以 实现 更 隐 项 的 网 络 攻击 ， 以 逃避 普通 的 网 络 安全 


检查 。 例 如 ， 肚 脑 虫 (Donot) 组织 以 “克什米尔 问题 ”命名 的 诱饵 漏洞 文档 ， 该 文档 利用 了 
CVE-2017-8570 漏洞 ， 其 主要 的 攻击 流程 如 图 10-9 所 示 。 
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10-9 ”基于 电子 文档 漏洞 的 APT 攻击 示意 图 


高 级 持续 威胁 检测 系统 是 入 侵 检 测 技术 产品 的 特殊 形态 , 其 产品 技术 原理 基于 静态 /动态 分 
析 检 测 可 疑 恶意 电子 文件 及 关联 分 析 网 络 安全 大 数据 以 发 现 高 级 持续 威胁 活动 。 目 前 ， 国 内 的 
APT 产品 有 安 天 追 影 威胁 分 析 系 统 、360 天 眼 新 一 代 威 胁 感知 系统 、 华 为 FireHunter6000 系列 
沙 箱 及 CIS 网 络 安全 智能 系统 。 
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S. 其 他 


根据 入 侵 检测 应 用 对 象 ， 常 见 的 产品 类 型 有 Web IDS、 数 据 库 IDS、 工 控 IDS 等 。 其 中 
Web IDS 利用 Web 网 络 通信 流量 或 Web 访问 日 志 等 信息 , 检测 常见 的 Web 攻击 , 如 Webshell、 
SQL 注入 、 远 程 文件 包含 (RFI) 、 跨 站 点 脚本 (XSS) 等 攻击 行为 ， 数 据 库 IDS 利用 数据 库 
网 络 通信 流量 或 数据 库 访问 日 志 等 信息 ， 对 常见 的 数据 库 攻击 行为 进行 检测 ， 如 数据 库 系统 口 
令 攻 击 、SQL 注入 攻击 、 数 据 库 漏洞 利用 攻击 等 ， 而 工控 IDS 则 通过 获取 工控 设备 、 工 控 协 
议 相关 信息 ， 根 据 工控 漏洞 攻击 检测 规则 、 异 常 报 文 特征 和 工控 协议 安全 策略 ， 检 测 工控 系统 
的 攻击 行为 。 


10.4.2 ”人 侵 检测 相关 指标 
入 侵 检 测 系统 的 主要 指标 有 可 靠 性 、 可 用 性 、 可 扩展 性 、 时 效 性 、 准 确 性 和 安全 性 。 
1. 可 靠 性 


由 于 入 侵 检 测 系统 需要 不 间断 地 监测 受 保护 系统 , 因此 , 要 求 入 侵 检测 系统 具有 容错 能 力 ， 
可 以 连续 运行 。 

2. 可 用 性 

入 侵 检测 系统 运行 开销 要 尽量 小 ， 特 别 是 基于 主机 的 入 侵 检 测 系统 ， 入 侵 检 测 系统 不 能 影 
响 到 主机 和 网 络 系统 的 性 能 。 

3. 可 扩展 性 

该 指标 主要 评价 入 侵 检测 系统 是 否 易于 配置 修改 和 安装 部 署 的 能 力 ， 以 适应 新 的 攻击 技术 
方法 不 断 出 现 和 系统 环境 的 变迁 需求 。 

4. 时 效 性 

时 效 性 要 求 入 侵 检测 系统 必须 尽快 地 分 析 报警 数据 ， 并 将 分 析 结果 传送 到 报警 控制 台 ， 以 


使 系统 安全 管理 者 能 够 在 入 侵 攻击 尚未 造成 更 大 危害 以 前 做 出 反应 ， 阻 止 攻 击 者 破坏 审计 系统 
甚至 入 侵 检测 系统 的 企图 。 


S. 准确 性 


准确 性 是 指 入 侵 检测 系统 能 正确 地 检测 出 系统 入 侵 活动 的 能 力 。 当 一 个 入 侵 检测 系统 的 检 
测 不 准确 时 ， 它 就 可 能 把 系统 中 的 合法 活动 当 作 入 侵 行为 ， 或 者 把 入 侵 行为 作为 正常 行为 ， 这 
时 就 出 现 误 报警 和 漏 报警 现象 ， 实 用 的 入 侵 检测 系统 应 具有 低 的 误 警 率 和 漏 警 率 。 
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6. 安全 性 


与 其 他 系统 一 样 ， 入 侵 检测 系统 本 身 也 往往 存在 安全 漏洞 。 若 对 入 侵 检测 系统 攻击 成 功 ， 
则 直接 导致 报警 失灵 ， 使 攻击 者 的 攻击 行为 无 法 被 记录 。 因 此 ， 入 侵 检测 系统 的 安全 性 要 求 具 
有 保护 自身 的 安全 功能 ， 能 够 抗 攻击 干扰 。 


10.5 “入 侵 检测 系统 应 用 


入 侵 检测 系统 是 常见 的 网 络 安全 监测 及 保护 措施 ， 本 节 分 析 入 侵 检测 技术 的 应 用 场景 类 
型 ， 总 结 了 IDS 的 部 署 方法 ， 给 出 了 常见 的 入 侵 检测 实施 参考 案例 。 


10.5.1 入侵 检测 应 用 场景 类 型 


入 侵 检测 是 网 络 安全 保障 的 重要 基础 性 技术 ,目前 已 经 广泛 应 用 于 网 络 信息 系统 的 安全 检 
测 和 保护 ， 常 见 的 应 用 场景 主要 如 下 。 


1. 上 网 保护 


通过 采集 域名 请 求 数据 及 网 络 威胁 情报 ， 利 用 入 侵 检 测 系统 检测 不 良 网 址 ， 保护 上 网 计 
算 机 安全 ， 防 止 互联 网 黑客 直接 攻击 内 部 网 络 ， 切 断 不 良 信息 访问 。 


2. 网 站 入 侵 检 测 与 保护 


通过 入 侵 检测 技术 对 Web 服务 器 的 所 有 请 求 或 Web 访问 日 志 进行 检测 ， 发 现 网 站 安全 
威胁 。 


3. 网 络 攻击 阻 断 


在 受 保护 的 区 域 边 界 处 部 署 入 侵 检测 系统 ， 对 受 保护 设备 的 网 络 通信 进行 安全 检测 ， 阻 断 
具有 攻击 特征 的 操作 ， 防 止 攻击 行为 。 


4. 主机 /终端 恶意 代码 检测 


在 主机 /终端 设备 上 安装 入 侵 检测 系统 或 功能 模块 ,检测 主机 服务 器 、 终 端 设 备 的 攻击 行为 ， 
防止 主机 或 终端 设备 受到 侵害 。 


S. 网 络 安全 监测 预警 与 应 急 处 置 


利用 检测 系统 监测 网 络 信息 系统 中 的 异常 行为 ， 及 时 发 现 入 侵 事 件 ， 追 踪 恶 意 攻击 源 ， 防 
止 网 络 安全 事件 影响 扩大 。 
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6. 网 络 安全 等 级 保护 


入 侵 检 测 技术 是 实现 网 络 安全 等 级 保护 相关 要 求 的 重要 支撑 ， 详 细 情 况 可 参看 国家 标准 
《信息 安全 技术 ”网络 安全 等 级 保护 基本 要 求 (GB/T 22239 一 2019) 》。 目 前 ， 入 侵 检测 技术 
常用 于 网 络 安全 等 级 保护 对 象 中 ， 如 在 关键 网 络 节点 处 监视 网 络 攻击 行为 ;检测 虚拟 机 与 宿主 
机 、 虚 拟 机 与 虚拟 机 之 间 的 异常 流量 :检测 针对 无 线 接 入 设备 的 网 络 扫描 、DDoS 攻击 、 密 钥 
破解 、 中 间 人 攻击 和 欺骗 攻击 。 


10.5.2 ”人 侵 检 测 系统 部 署 方法 


IDS 部 署 是 指 将 IDS 安装 在 网 络 系统 区 域 中 ， 使 之 能 够 检测 到 网 络 中 的 攻击 行为 。IDS 部 
署 的 基本 过 程 包含 以 下 几 个 步骤 : 

第 一 步 ， 根 据 组 织 或 公司 的 安全 策略 要 求 ， 确 定 IDS 要 监测 的 对 象 或 保护 网 段 ; 

第 二 步 ， 在 监测 对 象 或 保护 网 段 ， 安 装 IDS 探测 器 ， 采 集 网 络 入 侵 检 测 所 需要 的 信息 ; 

第 三 步 ， 针 对 监测 对 象 或 保护 网 段 的 安全 需求 ， 制 定 相应 的 检测 策略 ; 

第 四 步 ， 依 据 检测 策略 ， 选 用 合适 的 IDS 结构 类 型 ; 

第 五 步 ， 在 IDS 上 ， 配 置 入 侵 检 测 规则 ; 

第 六 步 ， 测 试验 证 IDS 的 安全 策略 是 否 正常 执行 ; 

第 七 步 ， 运 行 和 维护 IDS。 
10.5.3 基于 HIDS 的 主机 威胁 检测 

HIDS 一 般 用 于 检测 针对 单 台 主机 的 入 侵 行 为 ， 其 主要 应 用 方式 如 下 : 

(1) 单机 应 用 。 在 这 种 应 用 方式 下 ， 把 HIDS 系统 直接 安装 在 受 监测 的 主机 上 即 可 。 

(2) 分 布 式 应 用 。 这 种 应 用 方式 需要 安装 管理 器 和 多 个 主机 探测 器 (Sensor) 。 管 理 器 控 
制 多 个 主机 探测 器 〈Sensor) ， 从 而 可 以 远程 监控 多 台 主机 的 安全 状况 ， 如 图 10-10 所 示 。 

HIDS 探测 器 


胎 
le 


HIDS 探测 器 


有 a 


HIDS 探测 器 


HIDS 管理 中 心 


图 10-10 HIDS 分 布 式 应 用 部 署 示意 图 
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10.5.4 基于 NIDS 的 内 网 威胁 检测 


将 网 络 IDS 的 探测 器 接 在 内 部 网 的 广播 式 Hub 或 交换 机 的 Probe 端口 ， 如 图 10-11 所 示 。 
探测 器 通过 采集 内 部 网 络 流量 数据 ， 然 后 基于 网 络 流量 分 析 监 测 内 部 网 的 网 络 活动 ， 从 而 可 以 
发 现 内 部 网 络 的 入 侵 行为 。 


探测 器 NIDS 控制 台 


图 10-11 内 部 网 络 安全 威胁 检测 示意 图 


10.5.5 基于 NIDS 的 网 络 边界 威胁 检测 


将 NIDS 的 探测 器 接 在 网 络 边界 处 ， 采 集 与 内 部 网 进行 通信 的 数据 包 ， 然 后 分 析 来 自 外 部 
的 入 侵 行为 ， 如 图 10-12 所 示 。 


(@Q) 探 测 器 


向 、 控制 全 Ee] 


10-12 ”网 络 边界 安全 威胁 检测 示意 图 


10.5.6 ”网 络 安全 态势 感知 应 用 参考 


网 络 安全 态势 感知 通过 汇聚 IDS 报警 信息 、 系 统 日 志 , 然后 利用 大 数据 分 析 技 术 对 网 络 系 
统 的 安全 状况 进行 分 析 ， 监 测 网 络 安全 态势 。 下 面 以 安全 洋 瓯 (Security Onion) 为 例 进行 说 明 ， 
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如 图 10-13 所 示 。 安 全 洋葱 通过 集成 Elasticsearch、Logstash、Kibana、Snort、 Suricata、Bro、 
Sguil、Squert、CyberChef、NetworkMiner 等 相关 技术 ， 提 供 入 侵 检测 、 企 业 安全 监测 和 日 志 管 
理 等 安全 服务 。 其 中 ，Snort、 Suricata、Bro、OSSEC 为 入 侵 检测 系统 。 


分 析 机 


Kibana 
ElasticSearch 


Logstash 


Curator 


流量 日 志 设备 日 志 


Sysmon ”Autoruns 


10-13 ”Security Onion 系统 结构 图 


10.5.7 ”开源 网 络 人 侵 检测 系统 


常见 的 开源 网 络 入 侵 检测 系统 有 Snort、 Suricata、Bro、Zeek、OpenDLP、Sagan 等 。 本 
文 以 Snort 为 例 ， 给 出 开源 IDS 应 用 作为 参考 。 

Snort 是 应 用 较为 普遍 的 网 络 入 侵 检 测 系统 ， 其 基本 技术 原理 是 通过 获取 网 络 数据 包 ， 然 
后 基于 安全 规则 进行 入 侵 检测 ， 最 后 形成 报警 信息 。Snort 规则 由 两 部 分 组 成 ， 即 规则 头 和 规则 
选项 。 规 则 头 包含 规则 操作 (action) 、 协 议 (protocol) 、 源 地 址 和 目的 卫 地址 及 网 络 掩 码 、 源 
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地 址 和 目的 端口 号 信息 。 规 则 选项 包含 报警 消息 、 被 检查 网 络 包 的 部 分 信息 及 规则 应 采取 的 动 
作 。Snort 规则 如 下 所 示 : 


alert tcp any any -> 192.168.1.0/24 111 (content:"100 01 86 a5|"; msg: "mountd 


access";) 


其 中 ， 规 则 头 和 规则 选项 通过 “()” 来 区 分 ， 规 则 选项 内 容 用 括号 括 起 来 。 规 则 头 常见 的 动作 
有 alert、log、pass、activate、dynamic; 规则 选项 是 Snort 入 侵 检测 的 引擎 核心 ， 所 有 Snort 规 
则 选项 都 用 “;” 隔 开 ， 规则 选项 关键 词 使 用 “:” 和 对 应 的 参数 区 分 ，Snort 提供 十 五 个 规则 
选项 关键 词 。 规 则 选项 关键 词 常 用 的 是 msg 和 content。msg 用 于 显示 报警 信息 ，content 用 于 
指定 匹配 网 络 数 据 包 的 内 容 。 以 Nmap 扫描 和 SQL 注入 攻击 为 例 ，Snort 检测 规则 如 下 。 


1. Nmap 扫描 检测 规则 
alert icmp any any -> 192.168.X.Y any (msg: "NMAP ping sweep Scan"; 
dsize:0;sid:10000004; rev: 1;) 
alert tcp any any -> 192.168.X.Y 22 (msg: "NMAP TCP Scan";sid:10000005; rev:2; ) 
alert udp any any -> 192.168. X.Y any (msg:"Nmap UDP Scan"; sid:1000010; rev:17 ) 


alert tcp any any -> 192.168. X.Y 22 (msg:"Nmap XMAS Tree Scan"; flags:FPU; 
sid:1000006; rev:1; ) 


注 : 192.168.X.Y 为 目标 了 P 地址 。 

2. SQL 注入 攻击 检测 规则 
alert tcp any any -> any 80 (msg: "Error Based SQL Injection Detected"; content: 
"%27" ; sid:100000011; ) 


alert tcp any any -> any 80 (msg: "Error Based SQL Injection Detected"; content: 
22" 7 Sid:1000 } 
alert tcp any any -> any 80 (msg: "AND SQL Injection Detected"; content: "and"; 


nocase; sid:100000060; ) 


alert tcp any any -> any 80 (msg: "OR SQL Injection Detected"; content: "or" 7 


nocase; sid:100000061; ) 


alert tcp any any -> any 80 (msg: "UNION SELECT SQL Injection"; content: "union™"; 


sid:1000006; ) 
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alert tcp any any -> any 80 (msg: "Order by SQL Injection"; content: "order" 7 


sid:1000005; ) 


alert tcp any any -> 192.168.1.105 22 (msg:"Nmap FIN Scan"; flags:F; sid:1000008; 


rev:1;) 


10.5.8 ”华为 CIS 网 络 安 全 智能 系统 应 用 


华为 CIS (Cybersecurity Intelligence System， 网 络 安 全 智能 系统 ) 采用 最 新 的 大 数据 分 析 
和 机 器 学 习 技 术 , 用 于 抵御 APT 攻击 。 其 产品 技术 原理 是 从 海量 数据 中 提取 关键 信息 ,通过 多 
维度 风险 评估 , 采用 大 数据 分 析 方法 关联 单 点 异常 行为 ， 从 而 还 原 出 APT 攻击 链 , 准确 识别 和 
防御 APT 攻击 ， 避 免 核 心 信息 资产 损失 。 华 为 CIS 网 络 安全 智能 系统 的 分 布 式 机 构 如 图 10-14 
所 示 。 


云端 


服务 


可 视 化 


华为 下 一 代 安 全 设备 


10-14 ”华为 CIS 结构 示意 图 


CIS 基于 大 数据 平台 , 采用 机 器 学 习 模式 , 针对 APT 攻击 过 程 进行 检测 , 如 图 10-15 所 示 。 
CIS 提供 文件 异常 检测 、Mail 异常 检测 、C&C 检测 、 流 量 基 线 异常 检测 、 隐 蔽 通道 检测 、 
攻击 链 关 联 等 安全 功能 。CIS 网 络 安全 态势 感知 应 用 如 图 10-16 所 示 。 
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单 点 异常 检测 
渗 Mail 异 常 交 舍 1P 
回 拨 CC 服 务 2 | 和 


驻 点 @ | 器 ， 获 得 任务 | Netflow 闫 


和 盗用 账号 ， “| 沙 箱 检 扣 
提 权 @ | 内 部 提 权 测 信息 


资产 收集 
外 发 | 外 用 数据 。 | 情报 |。 隐 大 省 
发 st》 


10-15 ”基于 APT 攻击 链 的 检测 


全 球 威胁 智能 中 心 


cls LE 
pi ps NAS 洲 源 日 志 WNAT 济 有 
一 一， [一 


| 系统 3 
联 | 镜像 流量 Be af 
流量 安 
动 全 NN 
mm | 二 件 检测 
-WAnti- | 请 
Re ! DDoS 
ni- 清洗 | ， ma LB 志 1 ips 和 
DoS 设备 | ! 流量 类 攻击 一 一) ， 
1 ”检测 设备 应 用 类 已 知 威胁 ， | 
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图 ! 时 DPI 和 (样本 检测 ) | 
:| 悦 像 流量 。。 上 至 纺 | 
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图 10-16 CIS 网 络 安全 态势 感知 应 用 示意 图 
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10.6 本章 小 结 


网 络 系统 安全 保障 体系 包括 防护 、 检 测 、 反 应 和 恢复 4 个 层面 。 入 侵 检测 系统 是 其 中 一 个 
重要 的 组 成 部 分 ， 扮 演 着 网 络 空间 “预警 机 ”的 角色 。 本 章 首 先 介绍 了 入 侵 检测 系统 的 基本 概 
念 和 作用 ， 分 析 了 各 类 入 侵 检 测 技术 ; 然后 还 就 入 侵 检 测 系统 的 组 成 结构 和 类 型 进行 了 分 析 ， 
并 举例 说 明 常见 的 入 侵 检测 系统 ; 最 后 给 出 入 侵 检测 系统 的 应 用 案例 。 随 着 计算 机 和 网 络 技术 
的 发 展 ，IDS 作为 重要 的 安全 防范 措施 ， 将 会 受到 网 络 管理 员 的 重视 。 


是 第 11 章 网 络 物理 隔离 技术 苦 
原理 与 应 用 


11.1 网络 物理 隔离 概述 


本 节 首 先 阐述 物理 隔离 的 基本 概念 ， 然 后 分 析 物 理 隔离 面临 的 安全 风险 问题 。 下 面 分 别 进 
行人 氢 述 。 
11.1.1 网 络 物理 隔离 概念 


随 着 网 络 攻击 技术 不 断 增 强 ， 恶 意 入 侵 内 部 网 络 的 风险 性 也 相应 急剧 提高 。 网 络 入 侵 者 可 
以 涉 透 内 部 重要 信息 系统 , 窃取 数据 或 恶意 破坏 数据 。 同时， 内 部 网 的 用 户 因 为 安全 意识 注 弱 ， 
可 能 有 意 或 无 意 地 将 敏感 数据 泄露 出 去 。 因 此 ， 采 取 必 要 的 网 络 安全 措施 来 阻 断 内 部 网 络 信息 
泄密 ， 成 为 当前 网 络 安全 领域 一 个 十 分 重要 而 迫切 的 问题 。 为 了 实现 更 高 级 别 的 网 络 安全 ， 网 
络 安全 专家 建议 ,“ 内 外 网 及 上 网 计算 机 实现 物理 隔离 ， 以 求 减少 来 自 外 网 的 威胁 >。 《计算 机 
信息 系统 国际 联网 保密 管理 规定 》 第 二 章 第 六 条 规定 ,“ 涉 及 国家 秘密 的 计算 机 信息 系统 ， 不 
得 直接 或 间接 地 与 国际 互联 网 或 其 他 公共 信息 网 络 相 联接 ， 必 须 实 行 物理 隔离 。 ”尽管 物理 隔 
离 能 够 强化 保障 涉 密 信息 系统 的 安全 ， 却 不 便于 不 同安 全 域 之 间 的 信息 交换 ， 尤 其 是 低级 别 安 
全 域 向 高 级 别 安全 域 导入 数据 。 

目前 ， 网 络 和 大 数据 应 用 日 益 普及 ， 国 家 和 企 事业 单位 重要 信息 系统 之 间 的 数据 交换 日 趋 
频繁 ， 各 单位 机 构 对 信息 和 数据 的 时 效 性 要 求 越 来 越 高 ， 完 全 切断 不 同安 全 域 之 间 的 信息 及 数 
据 交 换 已 不 太 现实 。 因 而 ， 既 能 满足 内 外 网 信息 及 数据 交换 需求 ， 又 能 防止 网 络 安全 事件 出 现 
的 安全 技术 就 应 运 而 生 了 ， 这 种 技术 称 为 “物理 隔离 技术 ”， 其 基本 原理 是 避免 两 台 计 算 机 之 
间 直 接 的 信息 交换 以 及 物理 上 的 连通 ， 以 阻 断 两 台 计 算 机 之 间 的 直接 在 线 网 络 攻击 。 陋 离 的 目 
的 是 阻 断 直 接 网 络 攻击 活动 ， 避 免 敏感 数据 向 外 部 泄露 ， 保 障 不 同 网 络 安全 域 之 间 进 行 信息 及 
数据 交换 。 


11.1.2 网络 物理 隔离 安全 风险 


网 络 物理 隔离 有 利于 强化 网 络 安全 的 保障 ， 增 强 涉 密 网 络 的 安全 性 ， 但 是 不 能 完全 确保 网 
络 的 安全 性 。 采 用 网 络 物理 隔离 安全 保护 措施 的 网 络 仍然 面临 着 以 下 网 络 安全 风险 。 
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1. 网 络 非法 外 联 


一 旦 处 于 隔离 状态 的 网 络 用 户 私自 连接 互联 网 或 第 三 方 网 络 , 则 物理 隔离 安全 措施 失去 保 
护 作 用 。 


2.U 盘 摆 渡 攻 击 


网 络 攻击 者 利用 U 盘 作为 内 外 网 络 的 摆渡 工具 ， 攻 击 程序 将 敏感 数据 拷贝 到 U 盘 中 ， 然 
后 由 内 部 人 员 通 过 U 盘 泄 露 。 据 报道 ， 有 一 种 名 为 “U 盘 泄 密 者 ”的 病毒 ， 该 病毒 可 以 自动 复 
制 计算 机 和 介质 中 的 文件 到 指定 目录 下 ， 使 工作 人 员 在 不 经 意 间 造成 内 网 敏感 信息 的 泄露 。 其 
次 ， 采 用 这 种 方式 进行 数据 传输 也 为 不 法 分 子 进行 主动 窃 密 提供 了 有 效 途径 。 


3. 网 络 物理 隔离 产品 安全 隐患 


网 络 隔离 产品 的 安全 漏洞 ， 导 致 DoS/DDoS 攻击 ， 使 得 网 络 物理 隔离 设备 不 可 用 。 或 者 ， 
网 络 攻击 者 通过 构造 恶意 数据 文档 ， 绕 过 物理 隔离 措施 ， 从 而 导致 内 部 网 络 受到 攻击 。 


4. 针对 物理 隔离 的 攻击 新 方法 


针对 网 络 物理 隔离 的 窃 密 技 术 已 经 出 现 ， 其 原理 是 利用 各 种 手段 ， 将 被 隔离 计算 机 中 的 数 
据 转换 为 声波 、 热 量 、 电 磁 波 等 模拟 信号 后 发 射出 去 ， 在 接收 端 通 过 模 数 转换 复原 数据 ， 从 而 
达到 窃取 信息 的 目的 。2015 年 3 月 ， 以 色 列 研究 人 员 设 计 出 了 名 为 Bitwhisper 的 窍 密 技术 ,该 
技术 在 攻击 者 与 目标 系统 之 间 通 过 检测 设备 发 热量 建立 一 条 隐蔽 的 信道 窃取 数据 。 其 基本 原理 
是 利用 发 送 方 计算 机 受 控 设 备 的 温度 升降 来 与 接收 方 系统 进行 通信 ， 然 后 后 者 利用 内 置 的 热 传 
感 器 侦 测 出 温度 变化 ， 再 将 这 种 变化 转译 成 二 进 制 代码 ， 从 而 实现 两 台 相互 隔离 的 计算 机 之 间 
的 通信 。 


11.2 网络 物理 隔离 系统 与 类 型 


本 节 首先 益 述 网 络 物理 隔离 系统 的 概念 ， 然 后 给 出 网 络 物理 隔离 系统 的 类 型 。 
11.2.1 网络 物理 隔离 系统 


随 着 大 数据 技术 应 用 的 深度 发 展 ， 数 据 互联 成 为 新 的 发 展 趋势 ， 不 同安 全 等 级 的 网 络 信息 
系统 之 间 的 数据 交换 日 益 频繁 ,具有 安全 性 好 、 效 率 高 、 抗 攻击 性 强 、 高 可 靠 性 等 优点 的 网 络 
安全 隔离 与 信息 交换 系统 成 为 市 场 迫切 需求 。 目 前 ， 国 家 重要 部 门 和 关键 信息 系统 中 越 来 越 多 
地 应 用 网 络 安全 隔离 与 信息 交换 系统 ， 以 保障 重要 信息 系统 的 网 络 安全 。 

网 络 物理 隔离 系统 是 指 通过 物理 隔离 技术 , 在 不 同 的 网 络 安全 区 域 之 间 建 立 一 个 能 够 实现 
物理 隔离 、 信 息 交 换 和 可 信 控 制 的 系统 ， 以 满足 不 同安 全 域 的 信息 或 数据 交换 。 
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11.2.2 ”网 络 物理 隔离 类 型 

按照 隔离 的 对 象 来 分 ， 网 络 物理 隔离 系统 一 般 可 以 分 为 单 点 隔离 系统 和 区 域 隔离 系统 。 其 
中 单 点 隔离 系统 主要 是 保护 单独 的 计算 机 系统 ， 防 止 外 部 直接 攻击 和 干扰 。 区 域 隔离 系统 针对 
的 是 网 络 环境 ， 防 止 外 部 攻击 内 部 保护 网 络 。 

按照 网 络 物理 隔离 的 信息 传递 方向 ,网络 物理 隔离 系统 可 分 为 双向 网 络 物理 隔离 系统 与 单 
向 网 络 物理 隔离 系统 。 


11.3 网络 物 理 隔 离 机 制 与 实现 技术 


本 节 讲 述 物理 隔离 机 制 的 实现 技术 ， 主 要 包括 专用 计算 机 上 网 、 多 PC、 外 网 代理 服务 、 内 
外 网 线路 切换 器 、 单 硬盘 内 外 分 区 、 双 硬盘 、 网 疗 、 协 议 隔 离 、 单 向 传输 、 信 息 摆渡 、 物 理 断 
开 等 技术 。 


11.3.1 专用 计算 机 上 网 


在 内 部 网 络 中 指定 一 台 计算 机 ， 这 台 计 算 机 只 与 外 部 网 相连 ,不 与 内 部 网 相连 。 用 户 必 须 
到 指定 的 计算 机 才能 上 网 ， 并 要 求 用 户 离开 自己 的 工作 环境 。 


11.3.2 多 PC 


内 部 网 络 中 , 在 上 外 网 的 用 户 桌 面 上 安放 两 台 PC， 分 别 连接 两 个 分 离 的 物理 网 络 ， 一 台 用 
于 连接 外 部 网 络 ， 另 一 台 用 于 连接 内 部 网 络 ， 如 图 11-1 所 示 。 


上 外 部 网 “企业 内 部 网 络 


CC .wm | 
Intemet | I 


图 11-1 “多 PC” 物 理 隔离 原理 示意 图 


11.3.3 ”外 网 代理 服务 


在 内 部 网 指定 一 台 或 多 台 计算 机 充当 服务 器 ， 负 责 专门 搜集 外 部 网 的 指定 信息 ,然后 把 外 
网 信息 手工 导入 内 部 网 ， 供 内 部 用 户 使 用 ， 从 而 实现 内 部 用 户 “ 上 网 ”， 又 切断 内 网 与 外 网 的 
物理 连接 ， 避 免 内 网 的 计算 机 受到 来 自 外 网 的 攻击 ， 如 图 11-2 所 示 。 
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11-2 “外 网 代理 服务 ”物理 隔离 原理 示意 图 
11.3.4 ”内 外 网 线路 切换 器 


在 内 部 网 中 ， 上 外 网 的 计算 机 上 连接 一 个 物理 线路 A/B 交换 盒 ， 通过 交换 盒 的 开关 设置 控 
制 计算 机 的 网 络 物理 连接 ， 如 图 11-3 所 示 。 


Eo. a 9 -< | 


图 11-3 “内 外 网 线路 切换 器 ”物理 隔离 原理 示意 图 


11.3.5 单 硬盘 内 外 分 区 


单 硬盘 内 外 分 区 的 技术 原理 是 把 单一 硬盘 分 隔 成 不 同 的 区 域 , 在 IDE 总 线 物理 层 上 , 通过 
一 块 IDE 总 线 信号 控制 卡 截取 IDE 总 线 信 号 ， 控 制 磁盘 通道 的 访问 ， 在 任 一 时 间 内 ， 仅 允许 操 
作 系统 访问 指定 的 分 区 ， 如 图 11-4 所 示 。 这 样 ， 单 硬盘 内 外 分 区 技术 将 单 台 物理 PC 虚拟 成 逻 
辑 上 的 两 台 PC， 使 得 单 台 计算 机 在 某 一 时 刻 只 能 连接 到 内 部 网 或 外 部 网 。 当 连接 内 部 网 时 ， 就 
启用 硬盘 内 部 分 区 ， 用 于 处 理 内 部 业务 敏感 数据 文件 ， 此 时 ， 计 算 机 只 能 与 内 部 LAN 连接 ， 
而 与 外 部 网 《〈 因 特 网 或 不 可 信 网 ) 物理 开关 连接 断 开 。 当 连接 外 部 网 时 ， 就 启用 对 外 的 硬盘 分 
区 ， 与 外 部 网 直接 物理 相连 ， 但 与 内 部 LAN 断 开 ， 而 且 不 可 访问 内 部 使 用 的 硬盘 分 区 。 


11-4 单 硬盘 内 外 分 区 物理 隔离 原理 示意 图 
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单 硬盘 内 外 分 区 技术 的 优点 是 : 

。 ”提供 数据 分 类 存放 和 加 工 处 理 ; 

。 ”可 有 效 防止 外 部 窃 走 内 部 网 数据 ; 

。 ”实现 一 台 PC 功能 多 用 ， 节 省 资源 开支 。 

但 是 ， 单 硬盘 内 外 分 区 技术 仍然 存在 安全 威胁 ， 这 些 威胁 来 源 主 要 有 

。 ”操作 失误 ， 如 误 将 敏感 数据 存放 在 对 外 硬盘 分 区 中 

。 ”驱动 程序 软件 bug: 

。 ”计算 机 病毒 潜入 

。 ”内 部 人 员 故 意 泄露 数据 ; 

。 ”特洛伊 木马 程序 。 
11.3.6” 双 硬盘 

在 一 台 机 器 上 安装 两 个 硬盘 ， 通 过 硬盘 控制 卡 对 硬盘 进行 切换 控制 ， 用 户 在 连接 外 网 时 ， 
挂 接 外 网 硬盘 ， 而 当 用 内 网 办 公 时 ， 重 新 启动 系统 ， 挂 接 内 部 网 办 公 硬 盘 ， 如 图 11-5 所 示 。 在 
两 个 硬盘 实际 上 安装 了 两 个 操作 系统 。 这 种 技术 在 理论 上 说 可 以 防止 内 部 数据 流向 外 网 ， 但 是 
用 户 在 使 用 时 又 必须 不 断 地 重新 启动 切换 ， 造 成 用 户 使 用 不 方便 ， 而 且 也 不 易 统一 管理 。 


= Ea b 


y 下 


外 内 
图 11-5 双 硬盘 物理 隔离 原理 示意 图 


11.3.7 网 闻 


网 闸 通过 利用 一 种 GAP 技术 〈 源 于 英文 的 Air Gap) ， 使 两 个 或 者 两 个 以 上 的 网 络 在 不 连通 
的 情况 下 ， 实 现 它们 之 间 的 安全 数据 交换 和 共享 。 其 技术 原理 是 使 用 一 个 具有 控制 功能 的 开关 读 写 
存储 安全 设备 ， 通 过 开关 的 设置 来 连接 或 切断 两 个 独立 主机 系统 的 数据 交换 ， 如 图 11-6 所 示 。 
物理 隔离 网 闸 


图 11-6 ”网 闸 物理 隔离 原理 示意 图 
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两 个 独立 主机 系统 与 网 闸 的 连接 是 互 斥 的 ， 因 此 ， 两 个 独立 主机 不 存在 通信 的 物理 连接 ， 
而 且 主 机 对 网 闸 的 操作 只 有 “ 读 ” 和 “ 写 ”。 所 以 ， 网 闲 从 物理 上 隔离 、 阻 断 了 主机 之 间 的 直 
接 攻 击 ， 从 而 在 很 大 程度 上 降低 了 在 线 攻击 的 可 能 性 。 但 是 ， 网 闸 仍然 存在 安全 风险 ， 例 如 
入 侵 者 可 以 利用 恶意 数据 驱动 攻击 ， 将 恶意 代码 隐藏 在 电子 文档 中 ， 将 其 发 送 到 目标 网 络 中 
通过 具有 恶意 代码 功能 的 电子 文档 触发 ， 构 成 对 内 部 网 络 的 安全 威胁 。 


11.3.8 协议 隔离 技术 


协议 隔离 指 处 于 不 同安 全 域 的 网 络 在 物理 上 是 有 连 线 的 ， 通 过 协议 转换 的 手段 保证 受 
保护 信息 在 逻辑 上 是 隔离 的 ， 只 有 被 系统 要 求 传输 的 、 内 容 受 限 的 信息 可 以 通过 。 其 中 ， 
协议 转换 的 定义 是 协议 的 剥离 和 重建 。 把 基于 网 络 的 公共 协议 中 的 应 用 数据 剥离 出 来 ， 封 
装 为 系统 专用 协议 传递 至 所 属 其 他 安全 域 的 隔离 产品 另 一 端 ， 再 将 专用 协议 剥离 ， 并 封装 
成 需要 的 格式 。 


11.3.9 ” 单 向 传输 部 件 
单 向 传输 部 件 是 指 一 对 具有 物理 上 单 向 传输 特性 的 传输 部 件 ， 该 传输 部 件 由 一 对 独立 的 发 


送 和 接收 部 件 构成 ， 发 送 和 接收 部 件 只 能 以 单 工 方式 工作 ， 发 送 部 件 仅 具 有 单一 的 发 送 功能 
接收 部 件 仅 具有 单一 的 接收 功能 ， 两 者 构成 可 信 的 单 向 信道 ， 该 信道 无 任何 反馈 信息 。 


11.3.10 ”信息 摆渡 技术 

信息 摆渡 技术 是 信息 交换 的 一 种 方式 ， 物 理 传输 信道 只 在 传输 进行 时 存在 。 信 息 传输 时 ， 
信息 先 由 信息 源 所 在 安全 域 一 端 传输 至 中 间 缓 存 区 域 ， 同 时 物理 断 开 中 间 缓存 区 域 与 信息 目的 
所 在 安全 域 的 连接 ， 随 后 接 通 中 间 缓存 区 域 与 信息 目的 所 在 安全 域 的 传输 信道 ， 将 信息 传输 至 
信息 目的 所 在 安全 域 ， 同 时 在 信道 上 物理 断 开 信息 源 所 在 安全 域 与 中 间 缓存 区 域 的 连接 。 在 任 
何 时 刻 ， 中 间 缓 存 区 域 只 与 一 端 安全 域 相连 。 


11.3.11 ”物理 断 开 技术 


物理 断 开 是 指 处 于 不 同安 全 域 的 网 络 之 间 不 能 以 直接 或 间接 的 方式 相连 接 。 在 一 个 物理 网 
络 环境 中 ， 实 施 不 同安 全 域 的 网 络 物理 断 开 ， 在 技术 上 应 确保 信息 在 物理 传导 、 物 理 存储 上 的 
断 开 。 物 理 断 开通 常 由 电子 开关 来 实现 。 


11.4 网络 物理 隔离 主要 产品 与 技术 指标 


本 节 首 先 介绍 物理 隔离 的 主要 产品 类 型 ， 然 后 分 析 物 理 隔离 的 技术 指标 。 
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11.4.1 网 络 物理 隔离 主要 产品 


1. 终端 隔离 产品 


终端 隔离 产品 用 于 同时 连接 两 个 不 同 的 安全 域 ， 采 用 物理 断 开 技术 在 终端 上 实现 安全 域 
物理 隔离 的 安全 隔离 卡 或 安全 隔离 计算 机 。 

终端 隔离 产品 一 般 以 隔离 卡 的 方式 接 入 目标 主机 。 隔 离 卡通 过 电子 开关 以 互 斥 的 形式 同 
时 连通 安全 域 A 所 连 硬盘 、 安 全 域 A 或 安全 域 B 所 连 硬盘 、 安 全 域 B， 从 而 实现 内 外 两 个 安 
全 域 的 物理 隔离 。 该 类 产品 也 可 将 隔离 卡 整 合 入 主机 ， 以 整 机 的 形式 作为 产品 。 终 端 隔离 产 
品 典型 运行 环境 如 图 11-7 所 示 。 


CPU 
-ED 月 
上 
双 硬 盘 隔离 卡 (2 


图 11-7 终端 隔离 产品 典型 运行 环境 


2. 网 络 隔离 产品 


网 络 隔离 产品 用 于 连接 两 个 不 同 的 安全 域 ， 实 现 两 个 安全 域 之 间 的 应 用 代理 服务 、 协 议 
转换 、 信 息 流 访问 控制 、 内 容 过 滤 和 信息 摆渡 等 功能 。 产 品 技术 原理 采用 “2 十 1” 的 架构 ， 
即 以 两 台 主机 + 专用 隔离 部 件 构成 ， 采 用 协议 隔离 技术 和 信息 摆渡 技术 在 网 络 上 实现 安全 域 安 
全 隔离 与 信息 交换 。 其 中 ， 专 用 隔离 部 件 一 般 采 用 包含 电子 开关 并 固化 信息 摆渡 控制 逻辑 的 
专用 隔离 芯片 构成 的 隔离 交换 板 卡 ， 或 者 是 经 过 安全 强化 的 运行 专用 信息 传输 逻辑 控制 程序 
的 主机 。 网 络 隔离 产品 典型 运行 环境 如 图 11-8 所 示 。 


图 11-8 网络 隔离 产品 典型 运行 环境 
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3. 网 络 单 向 导入 产品 


网 络 单 向 导入 产品 位 于 两 个 不 同 的 安全 域 之 间 ， 通 过 物理 方式 (可 基于 电信 号 传输 或 光 信 
号 传输 ) 构造 信息 单 向 传输 的 唯一 通道 ， 实 现 信息 单 向 导入 ， 并 且 保 证 只 有 安全 策略 允许 传输 
的 信息 可 以 通过 , 同时 反方 向 无 任何 信息 传输 或 反馈 。 图 11-9 为 网 络 单 向 导入 产品 的 一 个 典型 
运行 环境 。 网 络 单 向 导入 产品 一 般 以 双 机 方式 组 成 , 即 数 据 发 送 处 理 单元 和 数据 接收 处 理 单元 ， 
双 机 之 间 采 用 单 向 传输 部 件 相连 。 网 络 单 向 导入 产品 部 署 在 两 个 安全 域 之 间 ， 其 中 ， 数 据 发 送 
处 理 单元 网 络 接口 连接 信息 发 送 方 安全 域 A， 数 据 接收 处 理 单元 网 络 接口 连接 信息 接收 方 安全 
域 B， 信 息 流 由 发 送 数据 的 安全 域 A 单 向 流入 接收 数据 的 安全 域 B。 单 向 传输 部 件 利用 单 向 传 
输 的 物理 特性 建立 两 个 安全 域 之 间 唯 一 的 单 向 传输 通道 ， 数 据 在 这 个 通道 中 只 能 沿 数据 发 送 处 
理 单元 向 数据 接收 处 理 单元 方向 的 可 信 路 径 单 向 传输 ， 无 任何 反馈 信号 。 


网 络 单 向 导入 产品 


图 11-9 网 络 单 向 导入 产品 典型 运行 环境 


11.4.2 ”网 络 物理 隔离 技术 指标 


网 络 和 终端 隔离 产品 的 技术 指标 主要 有 安全 功能 指标 、 安 全 保障 指标 、 性 能 指标 。 表 11-1 
是 网 络 和 终端 隔离 产品 安全 功能 主要 技术 指标 。 
表 11-1 网 络 和 终端 隔离 产品 安全 功能 主要 技术 指标 
产品 名 称 功能 要 求 
终端 隔离 产品 | 访问 控制 、 不 可 旁 路 和 客体 重用 


访问 控制 、 抗 攻击 、 安 全 管理 、 标 识 和 鉴别 、 审 计 、 域 隔离 、 容 错 、 数 据 完整 性 和 
密码 支持 


网 络 隔离 产品 


访问 控制 、 抗 攻击 、 安 全 管理 、 标 识 和 鉴别 、 审 计 、 域 隔离 、 配 置 数据 保护 和 运行 
状态 监测 


网 络 单 向 导入 
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安全 保障 指标 主要 是 关于 产品 的 质量 和 服务 保障 要 求 ， 如 配置 管理 、 交 付 和 运行 、 开 发 和 
指导 性 文档 、 测 试 、 脆 弱 性 评定 等 。 

性 能 要 求 则 是 对 网 络 和 终端 隔离 产品 应 达到 的 性 能 指标 做 出 规定 , 包括 交换 速率 和 硬件 切 
换 时 间 。 


11.5 ”网络 物理 隔离 应 用 


网 络 物理 隔离 技术 应 用 于 不 同安 全 区 域 之 间 的 网 络 信息 交换 。 本 节 给 出 物理 隔离 应 用 参考 
案例 ， 其 应 用 场景 叙述 如 下 。 


11.5.1 工作 机 安全 上 网 实例 


目前 ， 上 网 获取 信息 是 工作 的 需要 ,但 是 一 些 业务 部 门 涉及 敏感 信息 ， 不 能 够 直接 把 计算 
机 接 到 因特网 。 为 了 实现 既 能 上 因特网 ， 又 能 阻 断 内 部 信息 泄露 到 因特网 中 ， 用 户 在 需要 上 因 
特 网 的 计算 机 中 安装 一 块 物理 隔离 卡 ， 通 过 物理 隔离 卡 ， 使 一 台 工作 机 在 上 因特网 时 ， 从 物理 
上 断 开 与 内 部 网 的 连接 ， 因 而 减少 内 部 网 的 安全 威胁 。 
国内 已 有 不 少 公司 掌握 网 络 物理 隔离 技术 ， 下 面 以 珠海 经 济 特区 伟 思 有 限 公司 的 物理 隔离 
产品 为 例 进行 说 明 ， 如 图 11-10 所 示 。 这 种 方案 适合 小 规模 上 网 用 户 ， 在 一 个 局 域 网 络 中 ， 只 
有 部 分 工作 站 节点 机 需要 单独 通过 Modem 等 拨号 设备 接 入 因特网 。 这 样 可 以 在 需要 接 入 因 特 
网 的 工作 站 节点 计算 机 上 安装 物理 隔离 产品 ， 让 其 能 够 在 与 网 络 隔离 的 状态 下 拨号 上 网 ， 确 保 
网 络 的 安全 。 

内 部 服务 器 工作 站 打印 机 


加 i i 


| | 内 部 网 络 


图 11-10 ”内 网 工作 站 节点 机 安全 隔离 上 网 示意 图 
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11.5.2 ”电子 政务 中 网 闸 应 用 实例 


在 电子 政务 系统 中 ， 涉 及 不 同安 全 等 级 的 网 络 信息 交换 ， 传 统 方法 通过 手工 拷贝 数据 的 方 
式 来 实现 信息 交换 ， 但 是 对 于 大 量 的 网 络 间 数 据 交换 ， 手 工 方式 难以 适应 需求 ， 而 且 人 工 工作 
量 大 。 虽然 手工 方式 确保 了 网 络 的 安全 性 , 但 这 种 信息 交换 机 制 的 局 限 性 ,造成 信息 流通 不 畅 ， 
限制 了 应 用 发 展 。 国 家 管理 政策 文件 明确 指出 : “电子 政务 网 络 由 政务 内 网 和 政务 外 网 构成 ， 
两 网 之 问 物理 隔离 ， 政 务 外 网 与 互联 网 之 间 逻 辑 隔离 。” 为 此 ， 相 关 部 门 采用 网 闹 技 术 ， 以 物 
理 隔 离 为 基础 ， 在 确保 安全 性 的 同时 ， 解 决 了 网 络 之 间 信 息 交 换 的 困难 。 下 面 以 浪潮 集团 有 限 
公司 为 某 税务 系统 提供 的 信息 交换 系统 方案 为 例 进 行 说 明 ， 如 图 11-11 所 示 。 


' 目 … 到 税 银 专用 网 
| 本.… 到 市 区 县 局 


也 


哑 
[a 
型 
1 


电子 申报 受 
理 服务 器 


证 书 申请 


全 | 
Web 服 务 器 a tC 昌 和 

电子 申报 客户 油 | 站 
门户 网 站 放 

web 服务器。 各 
互联 网 税务 外 网 ! 税务 内 网 


11-11 某 税务 网 络 网 疗 应 用 示意 图 


该 税务 网 络 系统 与 互联 网 连接 ， 其 中 ， 税 务 网 络 系统 又 分 为 税务 外 网 和 税务 内 网 。 税 务 外 
网 的 服务 器 要 与 税务 内 网 的 服务 器 进行 数据 交换 必须 通过 该 安全 隔离 系统 ， 除 了 此 通道 没有 其 
他 逻辑 通道 存在 ， 这 就 保证 了 税务 外 网 与 税务 内 网 物理 隔离 并 仍 能 进行 实时 的 信息 交换 。 

该 方案 采用 浪潮 网 泰安 全 隔离 网 闻 ， 其 技术 原理 是 切断 网 络 之 间 的 通用 协议 连接 ， 将 数 
据 包 进行 分 解 或 重组 为 静态 数据 ， 然 后 对 静态 数据 进行 安全 审查 ， 包 括 网 络 协议 检查 和 代码 
扫描 等 , 确认 后 的 安全 数据 流入 内 部 单元 ， 内 部 用 户 通 过 严格 的 身份 认证 机 制 获 取 所 需 数据 ， 
如 图 11-12 所 示 。 

浪潮 网 泰安 全 隔离 网 六 的 设计 目标 如 下 : 

(1) 最 大 限度 规避 泄密 风险 ， 保 证 内 外 网 物理 断 开 ; 

(2) 所 有 信息 以 纯 文本 方式 交换 ， 并 对 其 内 容 进行 审查 ; 

(3) 通过 密级 标识 管理 、 过 滤 向 外 传送 的 文件 。 


国 ?6 项 。 信息 安全 工程 师 教程 (第 2 版) 


浪潮 网 泰安 全 隔离 网 疗 
人 


于 
-7 


图 11-12 浪潮 网 泰安 全 隔离 网 疗 的 体系 结构 


11.6 ”本 章 小 结 


物理 隔离 是 实现 网 络 信息 安全 的 重要 技术 方法 本 章 总 结 了 各 种 物理 隔离 的 技术 方法 和 原理 ， 
包括 专用 计算 机 上 网 、 内 外 网 线路 切换 器 、 单 硬盘 内 外 分 区 、 多 PC、 外 网 代理 服务 、 网 闸 等 ; 同 
时 ， 还 给 出 了 物理 隔离 卡 、 网 闸 的 安全 应 用 实例 。 
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原理 与 应 用 


12.1 网 络 安全 审计 概述 


网 络 安全 审计 是 网 络 安全 保护 措施 之 一 ， 本 节 主 要 阐述 网 络 安全 审计 的 概念 、 网 络 安全 审 
计 的 相关 标准 和 法 规 政策 。 


12.1.1 ”网络 安全 审计 概念 


网 络 安全 审计 是 指 对 网 络 信息 系统 的 安全 相关 活动 信息 进行 获取 、 记 录 、 存 储 、 分 析 和 利 
用 的 工作 。 网 络 安全 审计 的 作用 在 于 建立 “事后 ”安全 保障 措施 ， 保 存 网 络 安全 事件 及 行为 信 
息 ， 为 网 络 安全 事件 分 析 提 供 线索 及 证 据 ， 以 便于 发 现 潜在 的 网 络 安全 威胁 行为 ， 开 展 网 络 安 
全 风险 分 析 及 管理 。 

目前 , IT 产品 和 安全 设备 都 不 同 程度 地 提供 安全 审计 功能 。 常 见 的 安全 审计 功能 是 安全 事 
件 采集 、 存 储 和 查询 。 对 于 重要 的 信息 系统 ， 则 部 署 独立 的 网 络 安全 审计 系统 。 


12.1.2 ”网 络 安全 审计 相关 标准 


1985 年 美国 国家 标准 局 公布 的 《可 信 计 算 机 系统 评估 标准 》 (Trusted Computer System 
Evaluation Criteria， TCSEC) 中 给 出 了 计算 机 系统 的 安全 审计 要 求 。TCSEC 从 C2 级 开始 提出 
了 安全 审计 的 要 求 ， 随 着 保护 级 别 的 增加 而 逐渐 加 强 ，B3 级 以 及 之 后 更 高 的 级 别 则 不 再 变化 。 

我 国 的 国家 标准 GB 17859《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》( 以 下 简称 《准则 》) 
从 第 二 级 开始 要 求 提供 审计 安全 机 制 。 其 中 ， 第 二 级 为 系统 审计 保护 级 ， 该 级 要 求 计算 机 信 
息 系统 可 信 计 算 基 实施 了 粒度 更 细 的 自主 访问 控制 ， 它 通过 登录 规程 、 审 计 安全 性 相关 事件 
和 隔离 资源 ， 使 用 户 对 自己 的 行为 负责 。《 准 则 》 中 明确 了 各 级 别 对 审计 的 要 求 ， 如 表 12-1 
国家 已 经 颁布 了 网 络 安全 等 级 保护 相关 技术 规范 ,对 不 同安 全 级 别 的 保护 对 象 给 出 不 同 的 
安全 审计 要 求 。 云 计算 、 移 动 互 联网 、 工 业 控 制 系统 等 新 出 现 的 系统 都 有 相应 的 安全 审计 规定 ， 
详细 要 求 参看 《信息 安全 技术 ”网络 安全 等 级 保护 基本 要 求 第 2 部 分 : 云 计 算 安全 扩展 要 求 
(GA/T 1390.2 一 2017) 》《 信 息 安全 技术 ”网络 安全 等 级 保护 基本 要 求 第 3 部 分 : 移动 互联 安 
全 扩展 要 求 《GA/T 1390.3 一 2017) 》《 信 息 安全 技术 ”网络 安 全 等 级 保护 基本 要 求 第 5 部 分 : 
工业 控制 系统 安全 扩展 要 求 (GA/T 1390.5 一 2017)》。 
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级 别 类 型 
用 户 自 主 保护 级 


系统 审计 保护 级 


安全 标记 保护 级 


结构 化 保护 级 


访问 验证 保护 级 


表 12-1 计算 机 信息 系统 安全 保护 能 力 的 五 个 等 级 审计 要 求 

安全 审计 要 求 
无 
计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ， 
并 能 阻止 非 授 权 的 用 户 对 它 访问 或 破坏 。 计 算 机 信息 系统 可 信 计 算 基 能 记录 
下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 址 空间 (例如: 打开 文件 、 
程序 初始 化 ); 删除 客体 ， 由 操作 员 、 系 统管 理 员 或 (和 ) 系统 安全 管理 员 
实施 的 动作 ， 以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ， 其 审计 记录 
包括 : 事件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 、 事 件 是 否 成 功 。 对 于 身份 鉴别 
事件 ， 审 计 记 录 包 含 请 求 的 来 源 〈 例 如 : 终端 标识 符 ) ， 对 于 客体 引入 用 户 
地 址 空间 的 事件 及 客体 删除 事件 ， 审 计 记 录 包 含 客 体 名 。 对 不 能 由 计算 机 信 
息 系统 可 信 计 算 基 独 立 分 辨 的 审计 事件 ， 审 计 机 制 提供 审计 记录 接口 ， 可 由 
授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辩 的 
审计 记录 
在 系统 审计 保护 级 的 基础 上 ， 要 求 增强 的 审计 功能 是 : 审计 记录 包含 客体 名 
及 客体 的 安全 级 别 。 此 外 ， 计 算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输 
出 记号 的 能 力 
在 安全 标记 保护 级 的 基础 上 ， 要 求 增强 的 审计 功能 是 : 计算 机 信息 系统 可 信 
计算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 
在 结构 化 保护 级 的 基础 上 ， 要 求 增强 的 审计 功能 是 : 计算 机 信息 系统 可 信 计 
算 基 包含 能 够 监控 可 审计 安全 事件 发 生 与 积累 的 机 制 ， 当 超过 阔 值 时 ， 能 够 
立即 向 安全 管理 员 发 出 报警 。 并 且 ， 如 果 这 些 与 安全 相关 的 事件 继续 发 生 或 
积累 ， 系 统 应 以 最 小 的 代价 中 止 它们 


12.1.3 ”网 络 安全 审计 相关 法 规 政策 


网 络 安全 审计 是 网 络 信息 系统 的 重要 机 制 , 国家 相关 法 规 政策 及 国家 技术 标准 都 提出 了 要 
求 。《 中 华人 民 共和 国 网 络 安全 法 》 要 求 ， 采 取 监 测 、 记 录 网 络 运 行 状 态 、 网 络 安全 事件 技术 
措施 ， 并 按照 规定 留存 相关 的 网 络 日 志 不 少 于 六 个 月 。 


12.2 网络 安全 审计 系统 组 成 与 类 型 


本 节 介 绍 网 络 安全 审计 系统 的 组 成 和 类 型 。 
12.2.1 网 络 安全 审计 系统 组 成 


网 络 安全 审计 系统 一 般 包 括 审 计 信息 获取 、 审 计 信 息 存 储 、 审 计 信 息 分 析 、 审 计 信息 展示 
及 利用 、 系 统管 理 等 组 成 部 分 ， 如 图 12-1 所 示 。 
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审计 信息 分 析 结果 展示 及 管理 服务 


审计 信息 分 析 
审计 数 信息 审计 信息 存储 系统 管理 
安全 保护 
审计 信息 获取 


审计 对 象 
操作 系统 、 数 据 库 、 网 络 通 信 等 


12-1 网 络 安全 审计 系统 组 成 示意 图 


针对 不 同 的 审计 对 象 , 安全 审计 系统 的 组 成 部 分 各 不 相同 , 审计 细 粒 度 也 有 所 区 分 。 例如， 
操作 系统 的 安全 审计 可 以 做 到 对 进程 活动 、 文 件 操作 的 审计 ; 网 络 通信 安全 审计 既 可 对 耳 包 的 
源 地 址 、 目 的 地 址 进行 审计 ， 又 可 以 对 下 包 的 内 容 进 行 深度 分 析 ， 实 现 网 络 内 容 审 计 。 


12.2.2 ”网 络 安全 审计 系统 类 型 


按照 审计 对 象 类 型 分 类 ， 网 络 安全 审计 主要 有 操作 系统 安全 审计 、 数 据 库 安全 审计 、 网 络 
通信 安全 审计 、 应 用 系统 安全 审计 、 网 络 安全 设备 审计 、 工 控 安全 审计 、 移 动 安全 审计 、 互 联 
网 安全 审计 、 代 码 安全 审计 等 。 操 作 系 统 审 计 一 般 是 对 操作 系统 用 户 和 系统 服务 进行 记录 ， 主 
要 包括 用 户 登录 和 注销 、 系 统 服务 启动 和 关闭 、 安 全 事件 等 。 

Windows、Linux 等 操作 系统 都 自 带 审计 功能 ， 其 审计 信息 简要 叙述 如 下 : 

。 Windows 操作 系统 的 基本 审计 信息 有 注册 登录 事件 、 目 录 服 务 访 问 、 审 计 账 户 管理 、 

对 象 访问 、 审 计策 略 变更 、 特 权 使 用 、 进 程 跟踪 、 系 统 事件 等 
。 Linux 操作 系统 的 基本 审计 信息 有 系统 开机 自 检 日 志 bootlog、 用 户 命令 操作 日 志 
acct/pacct、 最 近 登 录 日 志 lastlog、 使 用 su 命令 日 志 sulog、 当 前 用 户 登录 日 志 utmp、 
用 户 登 录 和 退出 日 志 wtmp、 系 统 接收 和 发 送 邮 件 日 志 maillog、 系统 消息 messages 等 。 
数据 库 审计 通常 是 监控 并 记录 用 户 对 数据 库 服务 器 的 读 、 写 、 查 询 、 添 加 、 修 改 以 及 删除 
等 操作 ， 并 可 以 对 数据 库 操作 命令 进行 回放 。Oracle、MySQL、MS SQL、DB2、 达 梦 、 人 大 金 
仓 等 数据 库 都 具备 自 审计 功能 。 管 理 人 员 对 数据 库 的 审计 功能 进行 配置 ， 可 实现 对 数据 库 的 审 
计 。Oracle 默认 对 特权 操作 进行 审计 ， 例 如 ALTER ANY PROCEDURE、CREATE ANY 
LIBRARY、DROPANY TABLE， 详 细 情 况 参考 Oracle 手册 。 

网 络 通信 安全 审计 一 般 采 用 专用 的 审计 系统 ， 通 过 专用 设备 获取 网 络 流量 ， 然 后 再 进行 存 
储 和 分 析 。 网 络 通信 安全 审计 的 常见 内 容 为 下 源 地 址 、IP 目的 地 址 、 源 端口 号 、 目 的 端口 号 、 
协议 类 型 、 传 输 内 容 等 。 

按照 审计 范围 ， 安 全 审计 可 分 为 综合 审计 系统 和 单个 审计 系统 。 由 于 各 IT 产品 自 带 的 审 
计 功 能 有 限 ， 审 计 能 力 不 足 ， 于 是 安全 厂商 研发 了 综合 审计 系统 。 以 某 科技 有 限 公司 的 日 志 审 
计 与 分 析 系 统 为 例 ， 其 架构 如 图 12-2 所 示 。 
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采集 器 
Ey ED 


12-2 某 公 司 日 志 审 计 与 分 析 系 统 架 构图 


单个 审计 系统 主要 针对 独立 的 审计 对 象 ， 审 计数 据 来 源 单一 ， 缺 少 多 源 审计 对 象 的 关联 分 
析 ， 常 见 的 是 IT 系统 或 产品 自 带 的 审计 功能 。 


12.3 网络 安 全 审计 机 制 与 实现 技术 


网 络 安全 审计 机 制 主要 有 基于 主机 的 审计 机 制 、 基 于 网 络 通信 的 审计 机 制 、 基 于 应 用 的 审 
计 机 制 等 ， 下 面 主要 介绍 审计 机 制 实现 常用 的 技术 。 


12.3.1 ”系统 日 志 数 据 采集 技术 


常见 的 系统 日 志 数 据 采 集 技术 是 把 操作 系统 、 数 据 库 、 网 络 设备 等 系统 中 产生 的 事件 信 
息 汇 聚 到 统一 的 服务 器 存储 ， 以 便于 查询 分 析 与 管理 。 目 前 ， 常 见 的 系统 日 志 数 据 采 集 方式 
有 SysLog、SNMP Trap 等 。 其中，Syslog 较为 普及 ， 如 图 12-3 所 示 ， 各 种 网 络 设备 将 消息 发 
送 到 Syslog 服务 器 ， 服 务 器 把 报警 消息 传递 给 管理 员 ， 管 理 员 检查 Syslog 消息 ， 进 行 故障 诊 
断 或 监测 。 

不 同 厂商 的 安全 设备 、 网 络 设备 、 主 机 、 操 作 系统 以 及 应 用 系统 产生 的 日 志 信息 通过 Syslog 
服务 器 上 传 到 日 志 存 储 服务 器 。 目 前 ， 互 联网 上 有 多 种 Syslog 服务 器 。 以 可 视 化 Syslog 服务 
器 (Visual Syslog Server) 为 例 ， 该 服务 器 能 够 自动 化 处 理 日 志 信息 ， 也 支持 触发 脚本 功能 ， 
如 图 12-4 所 示 。 
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12-3 ”Syslog 应 用 示意 图 
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12-4 ”Visual Syslog Server 示意 图 


12.3.2 ”网 络 流量 数据 获取 技术 


网 络 流量 数据 获取 技术 是 网 络 通信 安全 审计 的 关键 技术 之 一 ， 常 见 的 技术 方法 有 共享 网 络 
监听 、 交 换 机 端口 镜像 (Port Mirroring) 、 网 络 分 流 器 (Network Tap) 等 。 其 中 ， 共 享 网 络 监 
听 利 用 Hub 集线器 构建 共享 式 网 络 ， 网 络 流量 采集 设备 接 入 集线器 上 ， 获 取 与 集线器 相连 接 的 
设备 的 网 络 流量 数据 ， 如 图 12-5 所 示 。 
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习 网 络 流量 采集 设备 


服务 器 A 服务 器 B 
图 12-5 基于 共享 网 络 监听 获取 网 络 流量 数据 示意 图 


图 中 服务 器 A 和 服务 器 B 的 网 络 流量 数据 都 可 以 被 网 络 流量 采集 设备 获取 到 。 
网 络 流量 采集 设备 通过 交换 机 端口 镜像 功能 ， 获取 流 经 交换 机 的 网 络 通信 包 , 如 图 12-6 所 示 。 


网 络 流量 采集 设备 


图 12-6 ”基于 端口 镜像 的 网 络 流量 采集 示意 图 


对 于 不 支持 端口 镜像 功能 的 交换 机 ， 通 常 利用 网 络 分 流 器 〈TAP) 把 网 络 流量 导入 网 络 流 
量 采 集 设 备 ， 如 图 12-7 所 示 。 

网 络 流量 采集 设备 安装 网 络 数据 捕获 软件 , 从 网 络 上 获取 原始 数据 , 然后 再 进行 后 续 处 理 。 
目前 ， 常 见 的 开源 网 络 数据 采集 软件 包 是 Libpcap (Library for Packet Capture) 。Libpcap 是 由 
美国 劳伦斯 伯克利 国家 实验 室 开 发 的 网 络 数据 包 捕 获 软件 , 支持 不 同 平台 使 用 , 如 图 12-8 所 示 。 

Libpcap 的 工作 流程 如 下 : 

(1) 设置 嗅 探 网 络 接口 。 在 Linux 操作 系统 中 ， 大 多 数 为 eth0。 

(2) 初始 化 Libpcap。 设 定 过 滤 规 则 ， 明 确 获 取 网 络 数据 包 的 类 型 。 

(3) 运行 Libpcap 循环 主体 。Libpcap 开始 接收 符合 过 滤 规 则 的 数据 包 。 
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网 络 流量 采集 设备 


图 12-7 基于 网 络 分 流 器 的 网 络 流量 采集 示意 图 
向 应 用 程序 提供 统一 的 捕获 编程 接口 
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图 12-8 ”Libpcap 接口 环境 


除了 Libpcap 外 ， 还 有 Winpcap， 它 支持 在 Windows 平台 捕获 网 络 数据 包 。Windump 是 基 
于 Winpcap 的 网 络 协议 分 析 工 具 ， 可 以 采集 网 络 数据 包 。Tcpdump 是 基于 Libpcap 的 网 络 流量 
数据 采集 工具 ， 常 常 应 用 于 Linux 操作 系统 中 。 如 图 12-9 所 示 ，Wireshark 是 图 形 化 的 网 络 流 
量 数据 采集 工具 ， 可 用 于 网 络 流量 数据 的 采集 和 分 析 。 
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12-9 ”Wireshark 应 用 示意 图 
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图 12-9 显示 的 是 对 桌面 服务 RDP 进行 网 络 流量 监测 ， 可 以 看 到 网 络 包 的 地 址 信息 和 传输 
内 容 信息 。 
12.3.3 ”网 络 审计 数据 安全 分 析 技 术 


网 络 审计 数据 蕴涵 着 网 络 安全 威胁 相关 信息 ， 需 要 通过 数据 分 析 技 术 方 法 来 提取 。 常 见 的 
网 络 审计 数据 安全 分 析 技 术 有 字符 串 匹 配 、 全 文 搜索 、 数 据 关 联 、 统 计 报表 、 可 视 化 分 析 等 。 


1. 字符 串 匹配 


字符 串 匹 配 通过 模式 匹配 来 查找 相关 审计 数据 ， 以 便 发 现 安全 问题 。 常 见 的 字符 串 匹 配 工 
有 具 是 grep， 其 使 用 的 格式 如 下 : 


grep [options] [regexp] [filename] 
regexp 为 正则 表达 式 ， 用 来 表示 要 搜索 匹配 的 模式 。 
2. 全 文 搜索 


全 文 搜索 利用 搜索 引擎 技术 来 分 析 审 计数 据 。 目 前 ， 开 源 搜索 引擎 工具 Elasticsearch 常用 
作 数 据 分 析 。 


3. 数据 关联 


数据 关联 是 指 将 网 络 安全 威胁 情报 信息 ， 如 系统 日 志 、 全 网 流量 、 安 全 设备 日 志 等 多 个 数 
据 来 源 进行 综合 分 析 ， 以 发 现 网 络 中 的 异常 流量 , 识别 未 知 攻击 手段 。 日 志 数 据 关 联 如 图 12-10 


所 示 。 
自动 建 模 ， 关 联 前 端 IP 
和 用 户 亦 可 手动 关联 
Fs oe 
| 应 用 流量 Web 应 用 DB 流量 
客户 端 “客户 端 发 起 中 间 件 中 间 件 发 起 ” 数据库 
Web 访 问 数据 库 查询 请 求 号 
PE EE = 
图 12-10 日 志 数 据 关 联 示 意图 
4. 统计 报表 


统计 报表 是 对 安全 审计 数据 的 特定 事件 、 阔 值 、 安 全 基线 等 进行 统计 分 析 ， 以 生成 告警 信 
息 ， 形 成 发 送 日 报 、 周 报 、 月 报 。 


第 12 章 网 络 安全 审计 技术 原理 与 应 用 “ 胃 235 莉 


S. 可 视 化 分 析 


将 安全 审计 数据 进行 图 表 化 处 理 ， 形 成 饼 图 、 柱 状 图 、 折 线 图 、 地 图 等 各 种 可 视 化 效果 ， 
以 支持 各 种 用 户 场景 。 将 不 同 维度 的 可 视 化 效果 汇聚 成 仪表 盘 ， 辅 助 用 户 实时 查看 当前 事件 变 
更 。 安全 关键 KPI 状态 高 亮 显示 ， 突 出 异常 行为 的 重要 性 ， 如 图 12-11 所 示 。 
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图 12-11 日 志 数 据 可 视 化 分 析 示 意图 


12.3.4 ”网 络 审计 数据 存储 技术 


网 络 审计 数据 存储 技术 分 为 两 种 : 一 种 是 由 审计 数据 产生 的 系统 自己 分 散 存储 ， 审 计数 据 
保存 在 不 同 的 系统 中 ， 目 前 ， 操 作 系 统 、 数 据 库 、 应 用 系统 、 网 络 设 备 等 都 可 以 各 自 存储 日 志 
数据 。 另 一 种 集中 采集 各 种 系统 的 审计 数据 ， 建 立 审 计数 据 存储 服务 器 ， 由 专用 的 存储 设备 保 
存 ， 便 于 事后 查询 分 析 和 电子 取证 。 


12.3.5 ”网 络 审计 数据 保护 技术 


网 络 审计 数据 涉及 系统 整体 的 安全 性 和 用 户 的 隐私 性 ， 为 保护 审计 数据 的 安全 ， 通 常 的 
安全 技术 措施 有 如 下 几 种 。 


1. 系统 用 户 分 权 管理 
操作 系统 、 数 据 库 等 系统 设置 操作 员 、 安 全 员 和 审计 员 三 种 类 型 的 用 户 。 操 作 员 只 负责 对 
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系统 的 操作 维护 工作 ， 其 操作 过 程 被 系统 进行 了 详细 记录 ; 安全 员 负 责 系统 安全 策略 配置 和 维 
护 ; 审计 员 负 责 维护 审计 相关 事宜 ， 可 以 查看 操作 员 、 安 全 员工 作 过 程 日 志 ; 操作 员 不 能 够 修 
改 自己 的 操作 记录 ， 审 计 员 也 不 能 对 系统 进行 操作 。 


2. 审计 数据 强制 访问 


系统 采取 强制 访问 控制 措施 ， 对 审计 数据 设置 安全 标记 ,防止 非 授权 用 户 查 询 及 修改 审计 
数据 。 


3. 审计 数据 加 密 

使 用 加 密 技术 对 敏感 的 审计 数据 进行 加 密 处 理 ， 以 防止 非 授 权 查 看 审计 数据 或 泄露 。 
4. 审计 数据 隐私 保护 

采取 隐私 保护 技术 ， 防 止 审计 数据 泄露 隐私 信息 。 

S. 审计 数据 完整 性 保护 


使 用 Hash 算法 和 数字 签名 ， 对 审计 数据 进行 数字 签名 和 来 源 认 证 、 完 整 性 保护 ， 防 止 非 
授权 修改 审计 数据 。 目 前 ， 可 选择 的 Hash 算法 主要 有 MD5、SHA、 国 产 SM3 算法 等 。 国 产 
SM2/SM9 数字 签名 算法 可 用 于 对 审计 数据 进行 签名 。 


12.4 网 络 安全 审计 主要 产品 与 技术 指标 


网 络 安全 审计 产品 是 常见 的 网 络 安全 产品 ， 其 产品 类 型 众多 ， 本 节 介绍 网 络 安全 审计 产品 
的 主要 类 型 和 相关 技术 指标 。 


12.4.1 日 志 安全 审计 产品 


日 志 安 全 审计 产品 是 有 关 日 志 信息 采集 、 分 析 与 管理 的 系统 。 产 品 的 基本 原理 是 利用 
Syslog、Snmptrap、NetFlow、Telnet、SSH、WMI、FTP、SFTP、SCP、JDBC、 文 件 等 技术 ， 
对 分 散 设 备 的 异 构 系统 日 志 进 行 分 布 采集 、 集 中 存储 、 统 计 分 析 、 集 中 管理 ， 便 于 有 关 单 位 / 
机 构 进 行 安全 合 规 管理 ， 保 护 日 志 信息 安全 。 日 志 安 全 审计 产品 的 主要 功能 有 日 志 采 集 、 日 志 
存储 、 日 志 分 析 、 日 志 查 询 、 事 件 告警 、 统 计 报 表 、 系 统管 理 等 。 国 内 安全 厂商 的 相关 产品 有 
绿 盟 日 志 审计 系统 、 天 融 信 上 日志 收集 与 分 析 系 统 、 安 恒 明 御 " 综 合 日 志 审 计 平 台 、 圣 博 润 
LanSecS "日 志 审 计 系 统 等 。 除 了 商业 日 志 分 析 产品 外 ，Elastic Stack (旧称 ELK Stack) 是 最 受 
欢迎 的 开源 日 志平 台 。 


12.4.2 主机 监控 与 审计 产品 
主机 监控 与 审计 产品 是 有 关 主机 行为 信息 的 安全 审查 及 管理 的 系统 。 产品 的 基本 原理 是 通 
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过 代理 程序 对 主机 的 行为 信息 进行 采集 ， 然 后 基于 采集 到 的 信息 进行 分 析 ， 以 记录 系统 行为 
帮助 管理 员 评 估 操 作 系 统 的 风险 状况 ， 并 为 相应 的 安全 策略 调整 提供 依据 。 该 产品 的 主要 功能 
有 系统 用 户 监 控 、 系 统 配置 管理 、 补 丁 管理 、 准 入 控制 、 存 储 介质 (U 盘 ) 管理 、 非 法 外 联 管 
理 等 。 其 产品 应 用 部 署 如 图 12-12 所 示 。 

"5 


1 
! 办 公 区 -1 | 人 | 
| 
| 本。 < 
MW -i 
: a i | : Agent™ Agent : 


图 12-12 主机 监控 与 审计 产品 应 用 部 署 示 意图 


国内 安全 厂商 的 相关 产品 有 北 信 源 主机 监控 审计 系统 、 天 融 信 主 机 监控 与 审计 系统 、 圣 博 
润 LanSecS "主机 监控 与 审计 系统 等 。 


12.4.3 数据库 审计 产品 


数据 库 审计 产品 是 对 数据 库 系 统 活动 进行 审计 的 系统 。 产 品 的 基本 原理 是 通过 网 络 流量 监 
听 、 系 统 调用 监控 、 数 据 库 代 理 等 技术 手段 对 所 有 访问 数据 库 系 统 的 行为 信息 进行 采集 ， 然 后 
对 采集 的 信息 进行 分 析 ， 形 成 数据 库 操作 记录 ， 保 存 和 发 现 数据 库 各 种 违规 的 或 敏感 的 操作 信 
息 ， 为 相应 的 数据 库 安全 策略 调整 提供 依据 。 在 数据 库 审 计 产 品 中 ， 实 现 数据 库 审计 主要 有 如 
下 三 种 方式 。 


1. 网 络 监听 审计 


网 络 监 听 审 计 对 获取 到 的 数据 库 流量 进行 分 析 ， 从 而 实现 对 数据 库 访问 的 审计 和 控制 。 其 
优点 是 数据 库 网 络 审计 不 影响 数据 库 服务 器 ， 其 不 足 是 网 络 监听 审计 对 加 密 的 数据 库 网 络 流量 
难以 审计 ， 同 时 无 法 对 数据 库 服务 器 的 本 地 操作 进行 审计 。 


2. 自 带 审计 


通过 启用 数据 库 系 统 自 带 的 审计 功能 ， 实 现 数据 库 的 审计 。 其 优点 是 能 够 实现 数据 库 网 络 
操作 和 本 地 操作 的 审计 ， 缺 点 是 对 数据 库 系 统 的 性 能 有 一 些 影响 ， 在 审计 策略 配置 、 记 录 的 粒 
度 、 日 志 统一 分 析 方 面 不 够 完善 ， 日 志 本 地 存储 容易 被 删除 。 
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3. 数据 库 Agent 


在 数据 库 服务 器 上 安装 采集 代理 〈Agent) ， 通 过 Agent 对 数据 库 的 各 种 访问 行为 进行 分 
析 ， 从 而 实现 数据 库 审计 。 其 优点 是 能 够 实现 数据 库 网 络 操作 和 本 地 操作 的 审计 ， 缺 点 是 数据 
库 Agent 需要 安装 数据 库 服务 器 ， 对 数据 库 服务 系统 的 性 能 、 稳 定性 、 可 靠 性 有 影响 。 
国内 安全 厂商 的 数据 库 安全 审计 产品 主要 有 绿 盟 数据 库 审计 系统 、 安 华 金 和 数据 库 监控 与 
审计 系统 、 天 融 信 数 据 库 审计 系统 、 安 恒 明 御 "数据 库 审计 与 风险 控制 系统 等 。 


12.4.4 ”网 络 安全 审计 产品 


网 络 安 全 审计 产品 是 有 关 网 络 通信 活动 的 审计 系统 。 产品 的 基本 原理 是 通过 网 络 流量 信息 
采集 及 数据 包 深 度 内 容 分 析 ， 提 供 网 络 通信 及 网 络 应 用 的 活动 信息 记录 。 网 络 安全 审计 常见 的 
功能 主要 包括 如 下 几 个 方面 。 


1. 网 络 流量 采集 
获取 网 上 通信 流量 信息 ， 按 照 协 议 类 型 及 采集 规则 保存 流量 数据 。 
2. 网 络 流量 数据 挖掘 分 析 


对 采集 到 的 网 络 流量 数据 进行 挖掘 ， 提 取 网 络 流量 信息 ， 形 成 网 络 审计 记录 ， 主 要 包括 如 
下 内 容 。 

(1) 邮件 收发 协议 (SMTP、POP3 协议 ) 审计 。 

从 邮件 网 络 流量 数据 提取 信息 ， 记 录 收 发 邮件 的 时 间 、 地 址 、 主 题 、 附 件 名 、 收 发 人 等 信 
息 ， 并 能 够 回放 所 收发 的 邮件 内 容 。 

(2) 网 页 浏览 (HTTP 协议 ) 审计 。 

从 Web 网 络 流量 数据 提取 信息 ， 记 录用 户 访问 网 页 的 时 间 、 地 址 、 域 名 等 信息 ， 并 能 够 
放 所 浏览 的 网 页 内 容 。 

(3) 文件 共享 (NetBios 协议 ) 审计 。 

从 文件 共享 网 络 流量 数据 提取 信息 ， 记 录 网 络 用 户 对 网 络 资源 中 的 文件 共享 操作 。 

(4) 文件 传输 (FTP 协议 ) 审计 。 

从 FTP 网 络 流量 数据 提取 信息 ， 记 录用 户 对 FTP 服务 器 的 远程 登录 时 间 、 读 、 写 、 添 加 、 
修改 以 及 删除 等 操作 ， 并 可 以 对 操作 过 程 进 行 完整 回放 。 

(5) 远程 访问 (Telnet 协议 ) 审计 。 

从 FTP 网 络 流量 数据 提取 信息 , 记录 用 户 对 Telnet 服务 器 的 远程 登录 时 间 、 各 种 操作 命令 ， 
并 可 以 对 操作 过 程 进行 完整 回放 。 

(6) DNS 审计 。 

从 DNS 网 络 流量 数据 提取 信息 ， 记 录用 户 DNS 服务 请 求 信息 ， 并 可 以 对 操作 过 程 进行 完 
整 回 放 ， 如 图 12-13 所 示 。 


回 
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重 DNS Audit 
File Edit Fiter Help 
Starting IP Address| ©@ 
Ending IP Addre:: BM J _sTOP 
address [PS Domam Name Do ame Sp 
= no reverss DNS response > 
a DNS response > 

erseDhs response > 
= erseDNS response > 
四 no reverse DNS response > 
= astadda0fvdemo ab = 
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inh no reverse DNS response > 
-yo eastadds01.demo.lab <dd not resolve > 
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图 12-13 DNS 网 络 流量 审计 示意 图 
网 络 安全 审计 产品 的 性 能 指标 主要 有 支持 网 络 带宽 大 小 、 协 议 识别 种 类 、 原 始 数 据 包 查询 
响应 时 间 等 。 


国内 安全 厂商 的 网 络 安全 审计 相关 产品 主要 有 绿 盟 上 网 行为 管理 系统 、 科 来 网 络 全 流量 安 
全 分 析 系 统 (TSA) 、 天 融 信 网 络 流量 分 析 系 统 等 。 


12.4.5 “工业 控制 系统 网 络 审计 产品 


工业 控制 系统 网 络 审计 产品 是 对 工业 控制 网 络 中 的 协议 、 数 据 和 行为 等 进行 记录 、 分 析 ， 
并 做 出 一 定 的 响应 措施 的 信息 安全 专用 系统 。 产 品 的 基本 原理 是 利用 网 络 流量 采集 及 协议 识别 
技术 ， 对 工业 控制 协议 进行 还 原 ， 形 成 工业 控制 系统 的 操作 信息 记录 ， 然 后 进行 保存 和 分 析 。 

工业 控制 系统 网 络 审计 产品 的 实现 方式 通常 分 两 种 情况 : 一 种 是 一 体 化 集中 产品 ， 即 将 数 
据 采集 和 分 析 功 能 集中 在 一 台 硬 件 中 ， 统 一 完成 审计 分 析 功 能 ， 另 一 种 是 由 采集 端 和 分 析 端 两 
部 分 组 成 ， 采 集 端 主要 提供 数据 采集 的 功能 ， 将 采集 到 的 网 络 数 据 发 送 给 分 析 端 ， 由 分 析 端 进 
一 步 处 理 和 分 析 ， 并 采取 相应 的 响应 措施 。 
国内 安全 厂商 的 工业 控制 系统 网 络 审计 产品 主要 有 绿 盟 工控 安全 审计 系统 、 威 努 特工 控 安 
全 监测 与 审计 系统 等 。 


12.4.6” 运 维 安全 审计 产品 


运 维 安全 审计 产品 是 有 关 网 络 设备 及 服务 器 操作 的 审计 系统 。 运 维 安全 审计 产品 主要 采集 
和 记录 IT 系统 维护 过 程 中 相关 人 员 “ 在 什么 终端 、 什 么 时 间 、 登 录 什 么 设备 〈 或 系统 ) 、 做 了 
什么 操作 、 返 回 什么 结果 、 什 么 时 间 登 出 ”等 行为 信息 ， 为 管理 人 员 及 时 发 现 权限 滥用 、 违 规 
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操作 等 情况 ， 准 确定 位 身份 ， 以 便 追 查 取证 。 
运 维 安全 审计 产品 的 基本 原理 是 通过 网 络 流量 信息 采集 或 服务 代理 等 技术 方式 ， 记 录 
Telnet、FTP、SSH、tftp、HTTP 等 运 维 操作 服务 的 活动 信息 ， 如 图 12-14 所 示 。 


1 a | 
网 络 流量 截取 性 ---------- | 
应 用 服务 代理 ! 


图 12-14 运 维 安全 审计 产品 实现 原理 示意 图 


运 维 安全 审计 产品 的 主要 功能 有 字符 会 话 审计 、 图 形 操作 审计 、 数 据 库 运 维 审计 、 文 件 传 
输 审计 、 合 规 审 计 等 。 

(1) 字符 会 话 审计 ， 审 计 SSH、Telnet 等 协议 的 操作 行为 ， 审 计 内 容 包 括 访问 起 始 和 终止 
时 间 、 用 户 名 、 用 户 也 、 设 备 名 称 、 设 备 卫 、 协 议 类 型 、 危 险 等 级 和 操作 命令 等 。 

(2) 图 形 操作 审计 , 审计 RDP、VNC 等 远程 桌面 以 及 HTTP/HTTPS 协议 的 图 形 操作 行为 
审计 内 容 包括 访问 起 始 和 终止 时 间 、 用 户 名 、 用 户 他、 设备 名 称 、 设 备 他、 协议 类 型 、 危 险 等 
级 和 操作 内 容 等 。 

(3) 数据 库 运 维 审计 ， 审 计 Oracle、MS SQL Server、IBM DB2、PostgreSQL 等 各 主流 数 
据 库 的 操作 行为 ， 审 计 内 容 包括 访问 起 始 和 终止 时 间 、 用 户 名 、 用 户 耳 、 设 备 名 称 、 设 备 卫 、 
协议 类 型 、 危 险 等 级 和 操作 内 容 等 。 

(4) 文件 传输 审计 ， 审 计 FTP、SFTP 等 协议 的 操作 行为 ， 审 计 内 容 包 括 访问 起 始 和 终止 时 
间 、 用 户 名 、 用 户 也 、 设 备 名 称 、 目 标 设备 也 、 协 议 类 型 、 文 件 名 称 、 危 险 等 级 和 操作 命令 等 。 

(5) 合 规 审计 , 根据 上 述 审计 内 容 , 参照 相关 的 安全 管理 制度 ,对 运 维 操作 进行 合 规 检查 
给 出 符合 性 审查 。 
国内 安全 厂商 的 运 维 安全 审计 相关 产品 主要 有 绿 盟 安全 审计 系统 -堡垒 机 、 思 福 迪 LogBase 
运 维 安全 审计 系统 等 。 


12.5 网 络 安全 审计 应 用 


网 络 安全 审计 技术 是 网 络 安全 保障 的 重要 技术 措施 ， 本 节 分 析 网 络 安全 审计 技术 的 应 用 场 
景 类 型 ， 给 出 安全 运 维 保障 、 数 据 访问 监测 、 网 络 入 侵 检 测 、 网 络 电子 取证 等 实施 参考 案例 。 
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12.5.1 安全 运 维 保障 

开 系 统 运 维 面临 内 部 安全 威胁 和 第 三 方 外 包 服务 安全 风险 , 网 络 安全 审计 是 应 对 运 维 安全 
风险 的 重要 安全 保障 机 制 。 通 过 运 维 审计 ， 可 以 有 效 防 范 和 追溯 安全 威胁 操作 。 例 如 ， 通 过 关 
联 分 析 还 原 堡 盆 机 绕 行 运 维 操作 。 公 司 企业 内 部 的 运 维 人 员 如 果 通过 堡垒 主机 对 服务 器 进行 操 
作 ， 则 符合 公司 企业 内 部 的 管理 要 求 ， 若 直接 对 服务 器 进行 操作 则 视 为 非法 操作 ， 这 一 行为 将 
被 记录 下 来 ， 通 过 该 审计 系统 ,管理 人 员 可 获知 有 运 维 人 员 在 执行 绕 行 操作 ， 如 图 12-15 所 示 。 


名 < 
了 登录 IP 非 煲 伪 
审计 和 人 员 主机 则 告警 

2 


图 12-15 运 维 审计 安全 保障 应 用 示意 图 


12.5.2 ”数据 访问 监测 


数据 库 承 载 企 事业 单位 的 重要 核心 数据 资源 ,保护 数据 库 的 安全 成 为 各 相关 部 门 的 重要 职 
责 。 数 据 库 安全 审计 产品 就 是 通过 安全 监测 ， 智 能 化 、 自 动 地 从 海量 日 志 信息 中 ， 发 现 违规 访 
问 或 异常 访问 记录 ， 从 而 有 效 降低 安全 管理 员 日 志 分 析 的 工作 量 ， 如 图 12-16 所 示 。 
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图 12-16 数据 库 安全 监测 示意 图 
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例如 ， 通 过 分 析 数 据 库 访问 日 志 信息 ， 可 以 自动 发 现 违规 访问 的 问题 。 在 特定 的 业务 环境 
中 ,用 户 在 正常 情况 下 应 该 通过 前 台 的 业务 系统 登录 后 修改 后 台数 据 库 的 内 容 。 假 如 某 个 用 户 
绕 过 了 前 台 的 业务 系统 ， 直 接 登 录 到 数据 库 并 算 改 了 其 中 的 数据 ， 则 数据 库 管 理 人 员 通 过 分 析 
用 户 访问 日 志 信息 ， 就 可 以 发 现 该 用 户 的 数据 库 访 问 行为 违背 了 业务 逻辑 ， 缺 少 与 之 相关 的 前 
台 登 录 行 为 ， 从 而 有 效 识别 该 违规 访问 。 


12.5.3 网络 人 侵 检 测 


网 络 入 侵 检测 对 网 络 设备 、 安 全 设备 、 应 用 系统 的 日 志 信息 进行 实时 收集 和 分 析 ， 可 检测 
发 现 黑客 入 侵 、 扫 描 渗透 、 暴 力 破解 、 网 络 蠕虫 、 非 法 访问 、 非 法 外 联 和 DDoS 攻击 。 例 如 ， 
攻击 者 常 对 服务 器 进行 密码 破解 攻击 ， 管 理 员 可 利用 日 志 安全 审计 系统 ， 实 时 地 收集 服务 器 的 
日 志 ， 分 析 服 务 器 的 认证 日 志 信 息 ， 若 发 现 连续 多 次 出 现 认证 出 错 信息 ， 则 可 以 判定 服务 器 受 
到 密码 破解 攻击 ， 并 产生 实时 告警 ， 提 醒 管 理 员 进 行 处 理 ， 如 图 12-17 所 示 。 


攻击 报警 
图 12-17 ”日志 安全 审计 应 用 于 攻击 检测 示意 图 


12.5.4 ”网 络 电 子 取证 


日 志 分 析 技 术 广 泛 应 用 于 计算 机 犯罪 侦查 与 电子 取证 , 许多 案件 借助 日 志 分 析 技 术 提供 线 
索 、 获 取证 据 。 如 某 市 公安 机 关 接 到 该 市 某 大 学 的 校园 网 络 遭 到 攻击 ， 造 成 网 络 竣 痪 数 日 的 报 
警 。 侦 察 人 员 通 过 路 由 器 的 日 志文 件 进行 排查 ， 确 定 具 有 嫌疑 的 人 员 的 忆 ， 并 根据 P 确定 了 
相应 的 犯罪 嫌疑 人 ， 将 犯罪 嫌疑 人 计算 机 内 的 日 志文 件 作为 其 犯罪 的 有 力 证 据 。 


12.6 ”本 章 小 结 
本 章 逆 述 了 网 络 安全 审计 的 概念 及 相关 标准 、 法 规 政策 ,分 析 了 网 络 安全 审计 系统 的 组 成 


和 类 型 ， 给 出 了 网 络 安全 审计 机 制 与 实现 技术 。 另 外 ， 还 介绍 了 常见 的 网 络 安全 审计 产品 和 技 
术 指 标 ， 并 给 出 了 网 络 安全 审计 的 典型 应 用 场景 。 


站 第 13 章 网 络 安全 漏洞 防护 性 
技术 原理 与 应 用 


13.1 网 络 安全 漏洞 概述 


网 络 安全 漏洞 是 构成 网 络 安全 威胁 的 重要 因素 ， 本 节 阐 述 网 络 安全 漏洞 的 相关 概念 、 网 络 
安全 漏洞 的 威胁 途径 及 重大 网 络 安全 事件 ， 并 介绍 网 络 安全 漏洞 问题 现状 。 


13.1.1 网 络 安全 漏洞 概念 


网 络 安全 漏洞 又 称 为 脆弱 性 ,简称 漏洞 。 漏洞 一 般 是 致使 网 络 信息 系 统 安全 策略 相 冲 突 的 
缺陷 ， 这 种 缺陷 通常 称 为 安全 隐患 。 安 全 漏洞 的 影响 主要 有 机 密 性 受 损 、 完 整 性 破坏 、 可 用 性 
降低 、 抗 抵赖 性 缺失 、 可 控制 性 下 降 、 真 实 性 不 保 等 。 根 据 已 经 公开 的 漏洞 信息 ， 网 络 信息 系 
统 的 硬件 层 、 软 硬 协同 层 、 系 统 层 、 网 络 层 、 数 据 层 、 应 用 层 、 业 务 层 、 人 机 交互 层 都 已 被 发 
现存 在 安全 漏洞 。 例 如 ， 国 外 网 络 安全 机 构 已 经 公布 了 Meltdown 〈 融 化 ) 和 Spectre 〈 幽 灵 ) 
两 种 类 型 的 CPU 漏洞 , 引爆 了 一 场 全 球 性 的 网 络 安全 危机 。 该 漏洞 允许 程序 窃取 正在 计算 机 上 
处 理 的 数据 。 其 他 层面 的 安全 漏洞 也 陆续 被 发 现 。《2018 年 我 国 互联 网 网 络 安全 态势 综述 》 中 
指出 ， 此 安全 漏洞 影响 了 1995 年 以 后 生产 的 所 有 Intel、AMD、ARM 等 CPU 芯片 ， 同 时 影响 
了 各 主流 云 服务 平台 及 Windows、Linux、MacOS、Android 等 主流 操作 系统 。 

根据 漏洞 的 补丁 状况 ， 可 将 漏洞 分 为 普通 漏洞 和 零 日 漏洞 (zero-day vulnerability) 。 普 通 
漏洞 是 指 相 关 漏 洞 信 息 已 经 广泛 公开 ， 安 全 厂商 已 经 有 了 解决 修补 方案 。 而 零 日 漏洞 特 指 系统 
或 软件 中 新 发 现 的 、 尚 未 提供 补丁 的 漏洞 。 零 日 漏洞 通常 被 用 来 实施 定向 攻击 (Targeted 
Attacks) 。 


13.1.2 ”网 络 安全 漏洞 威胁 


研究 表明 ， 网 络 信息 系统 漏洞 的 存在 是 网 络 攻击 成 功 的 必要 条 件 之 一 ， 攻 击 者 成 功 的 关键 
在 于 早 发 现 和 利用 目标 的 安全 漏洞 。 根 据 CC 标准 ， 威 胁 主体 利用 漏洞 〈 脆 弱 性 ) 实现 攻击 的 
示意 图 如 图 13-1 所 示 。 
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希望 最 小 化 > 一 


可 能 意识 到 


威胁 主体 


希望 滥用 或 破坏 


13-1 ”安全 漏洞 利用 示意 图 


攻击 者 基于 漏洞 对 网 络 系统 安全 构成 的 安全 威胁 主要 有 : ”敏感 信息 泄露 、 非 授权 访问 、 
身份 假冒 、 拒 绝 服务 。 网 络 安全 重大 事件 几乎 都 会 利用 安全 漏洞 ， 导 致 全 球 性 的 网 络 安全 危机 。 
表 13-1 是 与 漏洞 相关 的 重大 安全 事件 统计 表 。 


表 13-1 与 漏洞 相关 的 重大 安全 事件 统计 表 


时 间 所 利用 的 漏洞 

1988 年 Internet 蠕虫 Sendmail 及 finger 漏洞 

2000 年 TCP/IP 协议 漏洞 

2001 年 微软 Web 服务 器 IIS 4.0 或 5.0 中 index 服务 的 安全 漏洞 
2002 年 微软 MS SQL 数据 库 系统 漏洞 

2003 年 微软 操作 系统 DCOM RPC 缓冲 区 滋 出 漏洞 

2010 年 Windows 操作 系统 、WinCC 系统 漏洞 

2017 年 Windows 系统 的 SMB 漏洞 


由 此 可 见 ， 漏 洞 时 刻 威 胁 着 网 络 系统 的 安全 ， 要 实现 网 络 系统 安全 ， 关 键 问题 之 一 就 是 解 
决 漏洞 问题 ， 包 括 漏洞 检测 、 漏 洞 修补 、 漏 洞 预防 等 。 


13.1.3 “网络 安全 漏洞 问题 现状 


网 络 信息 系统 的 产品 漏洞 已 是 普遍 性 的 安全 问题 。 国 内 外 漏洞 数据 库 统计 显示 ， 商 业 操作 
系统 、 商 业 数据 库 以 及 开源 软件 都 不 同 程度 地 存在 安全 漏洞 。 由 于 软件 及 网 络 信息 系统 的 复杂 
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性 ， 网 络 信息 产品 的 安全 漏洞 问题 还 远 未 能 解决 。 人 工 智能 (AI) 、 区 块 链 、5G 等 新 领域 的 
漏洞 问题 将 成 为 研究 重点 和 热点 。 网 络 安全 漏洞 分 析 与 管理 技术 正 向 智能 化 方向 发 展 。 国 内 外 
网 络 安全 专家 正在 开展 基于 机 器 学 习 和 大 数据 来 分 析 网 络 信息 系统 安全 漏洞 的 研究 。 

安全 漏洞 分 析 及 漏洞 管理 是 网 络 安全 的 基础 性 工作 。 美 国 的 MITRE 公司 开发 通用 漏洞 披 
露 (Common Vulnerabilities and Exposures，CVE) 来 统一 规范 漏洞 命名 。MITRE 还 建立 了 一 个 
通用 缺陷 列表 (Common Weakness Enumeration，CWE) ， 用 于 规范 化 地 描述 软件 架构 、 设 计 
以 及 编码 存在 的 安全 漏洞 。 针 对 安全 漏洞 的 危害 性 评估 ， 事 件 响应 与 安全 组 织 论坛 (FIRST) 
制定 和 发 布 了 通用 漏洞 评分 系统 (Common Vulnerability Scoring System，CVSS) 。CVSS 采用 
十 分 制 的 方式 对 安全 漏洞 的 严重 性 进行 计 分 评估 ， 分 数 越 高 则 表明 漏洞 的 危害 性 越 大 。CVSS 
的 最 新 版 本 是 v3.0。 另 外 ， 在 网 络 攻防 方面 ， 双 方 都 期 望 事 先 掌握 漏洞 资源 ， 以 便 掌 握 网 络 安 
全 的 主动 权 。 国 际 上 已 经 出 现 安全 漏洞 地 下 交易 市 场 ， 将 重要 的 零 日 漏洞 以 高 价 出 售 。 针 对 安 


全 威胁 情报 服务 、 漏 洞 度 量 、 基 于 漏洞 的 攻击 图 自动 化 生成 、 漏 洞 利用 自动 化 、 漏 洞 发 现 等 。 

网 络 安全 漏洞 事 关 国家 安全 ， 很 多 发 达 国家 已 将 安全 漏洞 列 为 国家 安全 战略 资源 。 美 国 建 
立国 家 漏洞 库 (National Vulnerability Database，NVD) 。 美 国 军 方 建立 了 信息 战 “ 红 色 小 组 ” 
(Information Warfare Red Team) 用 于 模拟 网 络 敌 手 发 现 DoD 系统 中 的 安全 漏洞 ， 从 而 促进 其 
安全 性 改善 。 日 本 成 立 了 “信息 安全 缺陷 分 析 中 心 ”， 其 职责 是 分 析 操 作 系 统 和 软件 包 中 的 安 
全 缺陷 ， 重 点 是 分 析 日 本 各 政府 机 构 网 站 的 信息 安全 漏洞 。 微 软 (Microsoft〉、 赛 门 铁 克 
(Symantec) 、 思 科 〈Cisco) 、 甲 骨 文 〈Oracle) 等 国际 厂商 都 有 自己 相关 的 网 络 安全 漏洞 分 类 分 
级 标准 。 目 前 ， 我 国 相关 部 门 针 对 安全 漏洞 管理 问题 ， 建 立 起 国家 信息 安全 漏洞 库 CNNVD、 国 家 
信息 安全 漏洞 共享 平台 CNVD， 制 定 和 颁发 了 一 系列 漏洞 标准 规范 ， 主 要 有 《信息 安全 技术 安全 
漏洞 分 类 (GB/T 33561 一 2017) 》《 信 息 安全 技术 安全 漏洞 等 级 划分 指南 (GB/T 30279 一 2013) 》 
《信息 安全 技术 安全 漏洞 标识 与 描述 规范 (GB/T 28458 一 2012) 》 《信息 安全 技术 信息 安全 漏 
洞 管理 规范 (GB/T 30276 一 2013) 》。 


13.2 ”网络 安全 漏洞 分 类 与 管理 

网 络 安全 漏洞 是 网 络 安全 管理 工作 的 重要 内 容 ， 本 节 主要 介绍 网 络 安全 漏洞 来 源 、 网 络 安 
全 漏洞 分 类 、 网 络 安全 漏洞 发 布 、 网 络 安全 漏洞 信息 获取 、 网 络 安全 漏洞 管理 过 程 。 
13.2.1 网 络 安全 漏洞 来 源 


网 络 信息 系统 的 漏洞 主要 来 自 两 个 方面 : 一 方面 是 非 技术 性 安全 漏洞 , 涉及 管理 组 织 结构 、 
管理 制度 、 管 理 流程 、 人 员 管 理 等 ， 另 一 方面 是 技术 性 安全 漏洞 ， 主 要 涉及 网 络 结构 、 通 信 协 
议 、 设 备 、 软 件 产品 、 系 统 配 置 、 应 用 系统 等 。 
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1. 非 技术 性 安全 漏洞 的 主要 来 源 


(1) 网 络 安全 责任 主体 不 明确 。 组 织 中 缺少 针对 网 络 安全 负责 任 的 机 构 ， 或 者 是 网 络 安全 
机 构 不 健全 ， 导 致 网 络 安全 措施 缺少 责任 部 门 落实 。 

(2) 网 络 安全 策略 不 完备 。 组 织 中 缺少 或 者 没有 形成 一 套 规范 的 网 络 信息 安全 策略 。 例如， 
缺少 笔记 本 电脑 安全 接 入 控制 策略 ， 有 可 能 导致 外 部 非 安全 电脑 随意 接 入 内 部 网 络 中 ， 从 而 使 
得 内 部 网 络 安全 防护 机 制 失去 保护 效果 。 

(3) 网 络 安全 操作 技能 不 足 。 组 织 中 缺少 对 工作 人 员 的 网 络 安全 职责 规范 要 求 ， 没 有 制度 
化 的 安全 意识 和 技能 培训 机 制 。 例 如 ， 员 工 缺 少 新 的 网 络 信息 安全 威胁 知识 和 预防 能 力 ， 不 知 
道 如 何 防范 垃圾 邮件 和 设置 安全 口令 。 

(4) 网 络 安全 监督 缺失 。 组 织 中 缺少 强 有 力 的 网 络 信息 安全 监督 机 制 ， 网 络 信息 安全 策略 
的 实施 无 法 落实 ， 无 法 掌握 网 络 安全 态势 。 例 如 ， 恶 意 代码 防护 策略 缺少 更 新 和 维护 。 

(5) 网 络 安全 特权 控制 不 完备 。 网 络 信息 系统 中 存在 特权 账号 ， 缺 少 对 超级 用 户 权限 的 审 
计 和 约束 ， 从 而 引发 内 部 安全 威胁 。 


2. 技术 性 安全 漏洞 的 主要 来 源 


(1) 设计 错误 (Design Eror)。 由 于 系统 或 软件 程序 设计 错误 而 导致 的 安全 漏洞 。 例 如 ， 
TCP/TP 协议 设计 错误 导致 的 他 地址 可 以 伪造 。 

(2) 输入 验证 错误 (Input Validation Error)。 由 于 未 对 用 户 输入 数据 的 合法 性 进行 验证 ， 
使 攻击 者 非法 进入 系统 。 

(3) 缓冲 区 溢出 (Buffer Overflow) 。 输 入 程序 缓冲 区 的 数据 超过 其 规定 长 度 ， 造 成 缓冲 区 
溢出 ， 破 坏 程序 正常 的 堆栈 ， 使 程序 执行 其 他 代码 。 

(4) 意外 情况 处 置 错误 Exceptional Condition Handling Error) 。 由 于 程序 在 实现 逻辑 中 没 
有 考虑 到 一 些 意外 情况 ， 而 导致 运行 出 错 。 

(5) 访 问 验 证 错误 (Access Validation Eror)。 由 于 程序 的 访问 验证 部 分 存在 某 些 逻辑 错误 ， 
使 攻击 者 可 以 绕 过 访问 控制 进入 系统 。 

(6) 配置 错误 (Configuration Error)。 由 于 系统 和 应 用 的 配置 有 误 ， 或 配置 参数 、 访 问 权 
限 、 策 略 安装 位 置 有 误 。 

(7) 竞争 条 件 (Race Condition) 。 由 于 程序 处 理 文件 等 实体 在 时 序 和 同步 方面 存在 问题 ， 
存在 一 个 短暂 的 时 机 使 攻击 者 能 够 施 以 外 来 的 影响 。 

(8) 环境 错误 Condition Emror) 。 由 于 一 些 环境 变量 的 错误 或 恶意 设置 造成 的 安全 漏洞 。 


13.2.2 ”网 络 安全 漏洞 分 类 
网 络 安全 漏洞 分 类 有 利于 漏洞 信息 的 管理 ， 但 是 目前 还 没有 统一 的 漏洞 分 类 标准 。 国 际 上 


较为 认可 的 是 CVE 漏 洞 分 类 和 CVSS 漏洞 分 级 标准 。 另 外 ,还 有 我 国信 息 安全 漏洞 分 类 及 OWSP 
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1. CVE 漏洞 分 类 


CVE 是 由 美国 MITRE 公司 建设 和 维护 的 安全 漏洞 字典 。CVE 给 出 已 经 公开 的 安全 漏洞 的 
统一 标识 和 规范 化 描述 ， 其 目标 是 便于 共享 漏洞 数据 。CVE 条 目的 包含 内 容 是 标识 数字 、 安 
全 漏洞 简要 描述 、 至 少 有 一 个 公开 参考 。 标 识 数字 简称 CVE ID， 其 格式 由 年 份 数字 和 其 他 数 
字 组 成 ， 如 CVE-2019-1543 为 一 个 Open SSL 安全 漏洞 编号 。CVE 是 国际 上 权威 的 网 络 安全 漏 
洞 发 布 组 织 ， 其 成 员 包 含 众多 全 球 知名 的 安全 企业 和 研究 机 构 。 


2. CVSS 


CVSS 是 一 个 通用 漏洞 计 分 系统 ， 分 数 计算 依据 由 基本 度量 计 分 、 时 序 度量 计 分 、 环 境 度 
量 计 分 组 成 。 以 CVSS v3.0 为 例 ， 其 中 ， 基 本 度量 计 分 由 攻击 向 量 、 攻 击 复杂 性 、 特 权 要 求 、 
用 户 交 互 、 完 整 性 影响 、 保 密 性 影响 、 可 用 性 影响 、 影 响 范围 等 参数 决定 。 时 序 度量 计 分 由 漏 
洞 利用 代码 成 熟 度 、 修 补 级 别 、 漏 洞 报告 可 信 度 等 参数 决定 。 环 境 度量 计 分 由 完整 性 要 求 、 保 
密 性 要 求 、 可 用 性 要 求 、 修 订 基 本 得 分 等 决定 。CVSS 漏洞 计 分 方式 如 图 13-2 所 示 。 
Authority A Authority B 


可 利用 度量 : 
AC,AV,PR,UL 


CVSS 得 分 =F〈 可 利用 ， 范 围 ， 影 响 ) 


13-2 CVSS 漏洞 计 分 方式 示意 图 


3. 我 国信 息 安全 漏洞 分 类 


我 国 网 络 安全 管理 部 门 建 立 了 国家 信息 安全 漏洞 库 (CNNVD) 漏洞 分 类 分 级 标准 、 国 家 
信息 安全 漏洞 共享 平台 (CNVD) 漏洞 分 类 分 级 标准 。 

1) 国家 信息 安全 漏洞 库 (CNNVD ) 漏洞 分 类 

CNNVD 将 信息 安全 漏洞 划分 为 ， 配置 错误 、 代 码 问 题 、 资 源 管理 错误 、 数 字 错 误 、 信 息 
泄露 、 竞 争 条件 、 输 入 验证 、 缓 冲 区 错误 、 格 式 化 字符 串 、 跨 站 脚本 、 路 径 遍 历 、 后 置 链接 、 
SQL 注入 、 代 码 注入 、 命 令 注 入 、 操 作 系 统 命令 注入 、 安 全 特征 问题 、 授 权 问题 、 信 任 管理 、 
加 密 问 题 、 未 充分 验证 数据 可 靠 性 、 跨 站 请 求 伪造 、 权 限 许 可 和 访问 控制 、 访 问 控制 错误 和 资 
料 不 足 ， 如 图 13-3 所 示 。 
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图 13-3 CNNVD 信息 安全 漏洞 分 类 框架 


2) 国家 信息 安全 漏洞 共享 平台 (CNVD) 漏洞 分 类 

CNVD 根据 漏洞 产生 原因 ， 将 漏洞 分 为 11 种 类 型 : 输入 验证 错误 、 访 问 验 证 错误 、 意 外 
情况 处 理 错误 数目 、 边 界 条 件 错 误 数 目 、 配 置 错误 、 竞 争 条 件 、 环 境 错误 、 设 计 错 误 、 缓 冲 区 
错误 、 其 他 错误 、 未 知 错误 。 此 外 ，CNVD 依据 行业 划分 安全 漏洞 ， 主 要 分 为 行业 漏洞 和 应 用 
漏洞 。 行 业 漏洞 包括 : 电信 、 移 动 互联 网 、 工 控 系 统 ; 应 用 漏洞 包括 Web 应 用 、 安 全 产品 、 应 
用 程序 、 操 作 系统 、 数 据 库 、 网 络 设备 等 。 在 漏洞 分 级 方面 ， 将 网 络 安全 漏洞 划分 为 高 、 中 、 
低 三 种 危害 级 别 。 
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4. OWASP TOP 10 漏洞 分 类 


OWASP (Open Web Application Security Program) 组 织 发 布 了 有 关 Web 应 用 程序 的 前 十 
种 安全 漏洞 。 目 前 ， 已 发 布 多 个 版 本 ， 主 要 的 漏洞 类 型 有 注入 、 未 验证 的 重 定 向 和 转发 、 失 效 
的 身份 认证 、XML 外 部 实体 (XXE) 、 敏 感 信息 泄露 、 失 效 的 访问 控制 、 安 全 配置 错误 、 跨 
站 脚本 (XSS) 、 不 安全 的 反 序 列 化 、 使 用 含有 已 知 漏洞 的 组 件 、 不 足 的 日 志 记 录 和 监控 、 非 
安全 加 密 存储 。 

另外 ,一 些 国内 外 厂商 也 会 自行 推出 漏洞 分 类 规范 ， 如 IBM、 微 软 (Microsoft) 、 赛 门 铁 
克 (Symantec)、 思 科 〈Cisco) 、 甲 骨 文 (Oracle) 等 。 


13.2.3 ”网 络 安全 漏洞 发 布 


安全 漏洞 发 布 机制 是 一 种 向 公众 及 用 户 公开 漏洞 信息 的 方法 。 及 时 将 安全 漏洞 信息 公布 给 
用 户 ， 有 利于 帮助 安全 相关 部 门 采 取 措 施 及 时 堵 住 漏洞 ， 不 让 攻击 者 有 机 可 乘 ， 从 而 提高 系统 
的 安全 性 ， 减 少 漏洞 带 来 的 危害 和 损失 。 安 全 漏洞 发 布 一 般 由 软 硬 件 开发 商 、 安 全 组 织 、 黑 客 
或 用 户 来 进行 。 漏 洞 发 布 方式 主要 有 三 种 形式 : 网 站 、 电 子 邮件 以 及 安全 论坛 。 网 络 管理 员 通 
过 访问 漏洞 发 布 网 站 、 安 全 论坛 或 订阅 漏洞 发 布 电子 邮件 就 能 及 时 获取 漏洞 信息 。 漏 洞 信息 公 
布 内 容 一 般 包 括 : 漏洞 编号 、 发 布 日 期 、 安 全 危害 级 别 、 漏 洞 名 称 、 漏 洞 影 响 平台 、 漏 洞 解决 
建议 等 。 例 如 ， 国 家 信息 安全 漏洞 共享 平台 发 布 的 Oracle MySQL Server 拒绝 服务 漏洞 
(CNVD-2019-11750) 信息 ， 如 表 13-2 所 示 。 


表 13-2 Oracle MySQL Server 拒绝 服务 漏洞 

名 称 描述 
CNVD-ID | CNVD-2019-11750 
公开 日 期 ”| 2019-04-22 
危害 级 别 “| 高 (AV:N/AC:L/Au:N/C:N/EN/A:C) 
影响 产品 ”| Oracle MySQL Server<=8.0.15 

CVEID CVE-2019-2644 
Oracle MySQL 是 美国 甲骨 文 (Oracle) 公 司 的 一 套 开 源 的 关系 数据 库 管理 系统 .MySQL 
Server 是 其 中 的 一 个 数据 库 服务 器 组 件 
Oracle MySQL 中 的 MySQL Server 组 件 8.0.15 及 之 前 版 本 的 Server:DDL 子 组 件 存在 安 
全 漏洞 。 攻 击 者 可 利用 该 漏洞 造成 拒绝 服务 〈 挂 起 或 频繁 崩溃 ) ， 影 响 数据 的 可 用 性 

漏洞 类 型 ”| 通用 型 漏洞 

参考 链接 https://www.oracle.com/technetwork/security-advisory/cpuapr2019verbose-5072824.html 
漏洞 解决 方 | 厂商 已 发 布 了 漏洞 修复 程序 ， 请 及 时 关注 更 新 : https://www.oracle.com/technetwork/ 

案 security-advisory/cpuapr2019verbose-5072824.html 
厂商 补丁 ”| Oracle MySQL Server 拒绝 服务 漏洞 (CNVD-2019-11750) 的 补丁 
验证 信息 ( 暂 无 验证 信息 》 


漏洞 描述 
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名 称 描 述 

报 送 时 间 2019-04-18 

收录 时 间 2019-04-22 

更 新 时 间 2019-04-22 

漏洞 附件 (无 附件 》 

在 发 布 漏洞 公告 信息 之 前 , CNVD 都 力争 保证 每 条 公告 的 准确 性 和 可 靠 性 。 然 而 , 采 
纳 和 实施 公告 中 的 建议 则 完全 由 用 户 自 己 决定 , 其 可 能 引起 的 问题 和 结果 也 完全 由 用 
户 承 担 。 是 否 采 纳 建议 取决 于 个 人 或 企业 的 决策 , 应 考虑 其 内 容 是 否 符合 个 人 或 企业 
的 安全 策略 和 流程 


13.2.4 “网络 安全 漏洞 信息 获取 

无 论 是 对 攻击 者 还 是 防御 者 来 说 ， 网 络 安全 漏洞 信息 获取 都 是 十 分 必要 的 。 攻 击 者 通过 及 
时 掌握 新 发 现 的 安全 漏洞 ， 可 以 更 有 效 地 实施 攻击 。 防 御 者 利用 漏洞 数据 ， 做 到 及 时 补漏 ， 堵 
塞 攻击 者 的 入 侵 途 径 。 目 前 ， 国 内 外 漏洞 信息 来 源 主 要 有 四 个 方面 : 一 是 网 络 安全 应 急 响应 
机 构 ; 二 是 网 络 安全 厂商 ; 三 是 开 产品 或 系统 提供 商 ; 四 是 网 络 安全 组 织 。 国 内 外 网 络 安全 漏 
洞 信息 发 布 的 主要 来 源 ， 分 别 介绍 如 下 。 

1. CERT 


备注 


CERT (Computer Emergency Response Team) 组 织 建立 于 1988 年 ， 是 世界 上 第 一 个 计算 
机 安全 应 急 响应 组 织 ， 其 主要 的 工作 任务 是 提供 入 侵 事件 响应 与 处 理 。 目 前 ， 该 组 织 也 发 布 漏 
洞 信息 。 


2. Security Focus Vulnerability Database 


Security Focus Vulnerability Database 是 由 Security Focus 公司 开发 维护 的 漏洞 信息 库 ， 
它 将 许多 原本 零 零 散 散 的 、 与 计算 机 安全 相关 的 讨论 结果 加 以 结构 化 整理 ， 组 成 了 一 个 数 
据 库 。 

3. 国家 信息 安全 漏洞 库 CNNVD 


CNNVD 是 中 国信 息 安 全 测评 中 心 〈 以 下 简称 “测评 中 心 ”) 为 切实 履行 漏洞 分 析 和 风险 
评估 职能 ， 负 责 建设 运 维 的 国家 级 信息 安全 漏洞 数据 管理 平台 ， 则 在 为 国家 信息 安全 保障 提供 
服务 。 经 过 几 年 的 建设 与 运营 ，CNNVD 在 信息 安全 漏洞 搜集 、 重 大 漏洞 信息 通报 、 高 危 漏洞 
安全 消 控 等 方面 发 挥 了 重大 作用 ， 为 国家 重要 行业 和 关键 基础 设施 的 安全 保障 工作 提供 了 重要 
的 技术 支撑 和 数据 支持 。CNNVD 的 网 络 界面 如 图 13-4 所 示 。 


第 13 章 ”网络 安全 漏洞 防护 技术 原理 与 应 用 
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3 重大 预警 


@ 【而 全 ] CNSNVD 关于 机 
a 


图 0 人 ] crvD 关 于 npHp 远程 人 到 决 。 图 【而 间 天 守 】CNNVD 关 于 TiakpHP 远程 
me 


四 [而且 若 ] CNNYVD 关 于 WaRAR 代 三 失 行 而 则 和 @ 。 【 测 肌 罕 ] CNNVD 关于 多 个 天 和 和 人 @ 


居 ] CNNVD 关于 机 入 多 个 五 全 汽油 的 


(所 同 卫 客 】CNNVD 关于 并 多 多 个 去 生 而 汪 的 。 同 。【 尖 了 守 】CNNVD 关于 仙 交 多 个 安全 天 的。 图。 【洒洒 陋 守 】CNNVD 关于 mecOSHIOS 内 村 


图 13-4 CNNVD 网 站 界面 示意 图 


4. 国家 信息 安全 漏洞 共享 平台 CNVD 


国家 信息 安全 漏洞 共享 平台 (CNVD) 是 由 国家 计算 机 网 络 应 急 技术 处 理 协调 中 心 联合 国 
内 重要 的 信息 系统 单位 、 基 础 电信 运营 商 、 网 络 安全 厂商 、 软 件 厂商 和 互联 网 企业 建立 的 信息 
安全 漏洞 信息 共享 知识 库 。CNVD 已 建立 起 软件 安全 漏洞 统一 收集 验证 、 预 警 发 布 及 应 急 处 置 
体系 ， 发 布 了 《国家 信息 安全 漏洞 共享 平台 章程 》。CNVD 的 网 站 界面 如 图 13-5 所 示 。 
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13-5 ”CNVD 网 站 界面 示意 图 
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5. 厂商 漏洞 信息 


厂商 漏洞 信息 是 由 厂商 自己 公布 的 其 生产 产品 的 安全 漏洞 信息 。 通 常情 况 下 ， 厂 商会 在 其 
网 站 的 安全 服务 栏目 公布 产品 漏洞 信息 状况 。 


13.2.5 “网络 安全 漏洞 管理 过 程 


网 络 安全 漏洞 是 网 络 信息 系统 的 安全 事故 隐患 所 在 。 网 络 安全 漏洞 管理 是 把 握 网 络 信息 系 
统 安全 态势 的 关键 ， 是 实施 网 络 信息 安全 管理 从 被 动向 主动 转变 的 标志 性 行动 。 网 络 安全 漏洞 
管理 主要 包含 以 下 环节 。 


1. 网 络 信息 系统 资产 确认 


对 网 络 信息 系统 中 的 资产 进行 摸底 调查 ,建立 信息 资产 档案 .如 图 13-6 所 示 为 Qualys Guard 
的 资产 管理 操作 界面 。 


QUALYSGUARD SEGMENT ASSETS BY GROUP 


By organizing assets such as target IPs and domains into logical asset groups, 
you can limit the scope of security audits to network segments, making scan 
results and remediation tasks more focused and manageable. You can also 
New Asset Group easily distribute assets to multiple users within the enterprise. Managers have 
the option to go a step further and organize asset groups into business unlts 
A Unit Mananer has management responsibility for a business unit, including 


Asset Group Title asset groups and assigned Users 


7Asset Group Title [Seattle 


| Domains Scanner Appliances Business Info 
Available Selected. 


Remove All 


Expand. Manual Entry | Add Fron Asset Group | 


13-6 利用 Qualys Guard 进行 资产 管理 操作 示意 图 


2. 网 络 安全 漏洞 信息 采集 


利用 安全 漏洞 工具 或 人 工 方法 收集 整理 信息 系统 的 资产 安全 漏洞 相关 信息 , 包括 安全 漏洞 
类 型 、 当 前 补丁 级 别 、 所 影响 到 的 资产 。 
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3. 网 络 安全 漏洞 评估 


对 网 络 安全 漏洞 进行 安全 评估 ， 如 安全 漏洞 对 组 织 业 务 的 影响 、 安 全 漏洞 被 利用 的 可 能 性 
(是 否 有 公开 工具 、 远 程 是 否 可 利用 等 ) 、 安 全 漏洞 的 修补 级 别 ， 最 后 形成 网 络 安全 漏洞 分 析 
告 ， 给 出 网 络 安全 漏洞 威胁 排序 和 解决 方案 。 网 络 安全 漏洞 安全 威胁 量化 评估 方法 可 使 用 国 
际 上 较为 通用 的 CVSS， CVSS 漏洞 计 分 最 高 为 10 分 ， 漏 洞 的 CVSS 分 数 越 高 表示 漏洞 的 安 
全 威胁 越 高 。 


4. 网 络 安全 漏洞 消除 和 控制 


常见 的 消除 和 控制 网 络 安全 漏洞 的 方法 是 安装 补 本 包 、 升 级 系统 、 更 新 IPS 或 IDS 的 特征 
库 、 变 更 管理 流程 。 


5. 网 络 安全 漏洞 变化 跟踪 


网 络 信息 系统 是 一 个 开放 的 环境 ， 系 统 中 的 资产 不 断 出 现 变化 ， 如 新 IT 设备 和 应 用 系统 
的 上 线 、 软 件 包 删 除 和 安装 等 。 另 一 方面 ， 安 全 威胁 手段 层出不穷 。 因 此 ， 网 络 信息 系统 的 漏 
洞 数 量 、 类 型 以 及 分 布 都 在 动态 演变 。 安 全 管理 员 必须 设法 跟踪 漏洞 状态 ， 持 续 修补 信息 系统 
中 的 漏洞 。 


13.3 ”网络 安全 漏洞 扫描 技术 与 应 用 


网 络 安全 漏洞 是 网 络 信息 系统 的 重要 安全 隐患 ， 本 节 主 要 阐述 网 络 信息 系统 的 漏洞 检查 技 
术 ， 通 常 称 为 网 络 安全 漏洞 扫描 ， 简 称 为 漏洞 扫描 器 。 同 时 ， 分 析 网 络 安全 漏洞 扫描 的 应 用 场 
景 ， 包 括 服务 器 、 网 站 、 网 络 设备 、 数 据 库 等 安全 漏洞 检查 。 


13.3.1 网 络 安全 漏洞 扫描 


网 络 安全 漏洞 扫描 是 一 种 用 于 检测 系统 中 漏洞 的 技术 ， 是 具有 漏洞 扫描 功能 的 软件 或 设 
备 ， 简 称 为 漏洞 扫描 器 。 漏 洞 扫描 器 通过 远程 或 本 地 检查 系统 是 否 存在 已 知 漏洞 。 漏 洞 扫描 器 
一 般 包括 用 户 界面 、 扫 描 引 擎 、 漏 洞 扫描 结果 分 析 、 漏 洞 信息 及 配置 参数 库 等 主要 功能 模块 ， 
有 具体 模块 功能 介绍 如 下 : 

(1) 用 户 界面 。 

用 户 界面 接受 并 处 理 用户 输 入 、 定 制 扫描 策略 、 开 始 和 终止 扫描 操作 、 分 析 扫描 结果 报告 
等 。 同 时 ， 显 示 系 统 扫描 器 工作 状态 。 

(2) 扫描 引擎 。 

扫描 引擎 响应 处 理 用 户 界面 操作 指令 ， 读 取 扫 描 策略 及 执行 扫描 任务 ， 保 存 扫描 结果 。 

(3) 漏洞 扫描 结果 分 析 。 

读 取 扫描 结果 信息 ， 形 成 扫描 报告 。 


国 2 项 


信息 安全 工程 师 教程 (第 2 版 


(4) 漏洞 信息 及 配置 参数 库 。 

漏洞 信息 及 配置 参数 库 保 存 和 管理 网 络 安全 漏洞 信息 ， 配 置 扫描 策略 ， 提 供 安 全 漏洞 相关 
数据 查询 和 管理 功能 。 

漏洞 扫描 器 是 常用 的 网 络 安全 工具 。 按 照 扫 描 器 运行 的 环境 及 用 途 ， 漏 洞 扫描 器 主要 分 为 
三 种 ， 即 主机 漏洞 扫描 器 、 网 络 漏洞 扫描 器 、 专 用 漏洞 扫描 器 。 下 面 分 别 介绍 。 


1. 主机 漏洞 扫描 器 


主机 漏洞 扫描 器 不 需要 通过 建立 网 络 连接 就 可 以 进行 ， 其 技术 原理 一 般 是 通过 检查 本 地 系 
统 中 关键 性 文件 的 内 容 及 安全 属性 ， 来 发 现 漏洞 ， 如 配置 不 当 、 用 户 弱 口 令 、 有 漏洞 的 软件 版 
本 等 。 主 机 漏洞 扫描 器 的 运行 与 目标 系统 在 同一 主机 上 ， 并 且 只 能 进行 单机 检测 。 主 机 漏洞 扫 
描 器 有 COPS、Tiger、Microsoft Baseline Security Analyser (MBSA) 等 。 其中, COPS (Computer 
Oracle and Password System) 用 来 检查 UNIX 系统 的 常见 安全 配置 问题 和 系统 缺陷 。Tiger 是 
一 个 基于 shell 语言 脚本 的 漏洞 检测 程序 , 用 于 UNIX 系统 的 配置 漏洞 检查 。 MBSA 是 Windows 
系统 的 安全 基准 分 析 工 具 。 

图 13-7 是 Tiger 检测 人 P 地 址 为 192.168.X.Y 的 主机 漏洞 的 过 程 。 


ml Y 
文件 EF) 编辑 时 选项 QQ) 传送 G) 摘 灾 窗口 如 帮助 如 


蚜 | 姬 | 宙 | 国 多 | 克 | 到 时 | 加 辣 昌 司 园 | 


USING scripts tigerrc 
[rootemonitor-lab tiger-2.2.3].“tiger 
Conf iguring... 


Will try to check using config for i686’ running Linux 2.2.14-5.0... 

—-CONFI6-- [con9b97c] No conf iguration files for Linux. Using default 
conf iguration files. Not all checks may be perforned. 

Tiger security scripts ww“w“ 2.2.3，1994.0309 .2038 *«** 

15:51> Beginning security report for monitor-lab. 

15:51> Starting file systens scans in background... 

15:51> Checking password files... 

15;51> Checking group flles... 

15:51> Checking user accounts... 

.scripts/sub/check_devs: eval: line 3: syntax error: unexpected end of file 

.sscripts/sub/check_devs: syntax error near unexpected token °}’ 

./scripts/sub/check_devs: ./scripts/sub/check_devs: line 46: “二 

15:51> Checking .rhosts files... 

15:51> Checking .netrc files... 

15:51> Checking PATH settings... 

15:51> Checking anonynous ftp setup... 

15:51> Checking mail aliases... 

15:51> Checking cron entries... 

15:51> Checking “inetd’ configuration... 

15:51> Checking NFS export entries... 

@| | | ANSUTCPMP 1645 ooool 二 


13-7 ”Tiger 扫描 过 程 示意 图 
Tiger 扫描 的 结果 信息 ， 如 图 13-8 所 示 。 
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[SI 


Becurity scripts *x* 2.2.3, 1994.0309.2038 xx* 
Tue Oct 8 15:51:29 CST 2002 
15:51> Beginning security report for monitor-lab (i686 Linux 2.2.14-5.0). 


MW Performing check of passud files. 
|--WARN-— [passb92u] UID 6 exists multiple times in /etc/passud. 


Performing check of group files.. 
-WARN-— [grpg93u] Malformed entry in /etc/group: 
nogroup: :888 


MW Performing check of user accounts,.. 

I Checking accounts from “etc“passud . 

-WARN-— [accoglzu] Login ID madsys has uid == 0. 

|--WARN-— [accgg6u] Login ID lp’s hone directory (var/spool/1pd) has group 

“daenon’ write access. 

|--WARN-— [acc9g6u] Login ID mail’s home directory (var/spool/nmail) has group 
“nail’ write access. 

|--WARN-— [accgb6u] Login ID mht’s hone directory (“homezmht] has group “root” 
urite access. 


MW Performing check of /etc/hosts.equiv and .rhosts files... 
ercist-monitor 
[secunity。 report monitor-lab.021008-15:51”193L，9117C 


3) | | ANS| TP/P /1649 goool 了 | 


13-8 ”Tiger 扫描 结果 信息 示意 图 


2. 网 络 漏洞 扫描 器 


网 络 漏洞 扫描 器 的 技术 原理 是 通过 与 待 扫描 的 目标 机 建立 网 络 连接 后 ， 发 送 特定 网 络 请 求 
进行 漏洞 检查 。 网 络 漏洞 扫描 器 与 主机 漏洞 扫描 的 区 别 在 于 ， 网 络 漏洞 扫描 器 需要 与 被 扫描 目 
标 建立 网 络 连接 。 网 络 漏洞 扫描 器 便于 远程 检查 联网 的 目标 系统 。 但 是 ， 网 络 漏洞 扫描 器 由 于 
没有 目标 系统 的 本 地 访问 权限 ， 只 能 获得 有 限 的 目标 信息 ， 检 查 能 力 受 限于 各 种 网 络 服务 中 的 
漏洞 检查 ， 如 Web、FTP、Telnet、SSH、POP3、SMTP、SNMP 等 。 常 见 的 网 络 漏洞 扫描 器 有 
Nmap、Nessus、X-scan 等 。 其 中 ，Nmap 是 国际 上 知名 的 端口 扫描 工具 ， 常 用 于 检测 目标 系统 
开启 的 服务 端口 。Nessus 是 典型 的 网 络 漏洞 扫描 器 ， 由 客户 端 和 服务 端 两 部 分 组 成 ， 支 持 即 插 
即 用 的 漏洞 检测 脚本 。X-scan 是 由 国内 安全 组 织 xfocus 开发 的 漏洞 扫描 工具 , 运行 在 Windows 
环境 中 。 以 Nessus 为 例 ， 其 使 用 模式 如 图 13-9 所 示 。 


时 上 尼 a 被 检查 网 络 
漏洞 检查 客户 程序 。 漏洞 检查 服务 程序 


nessus nessusd 号 


13-9 Nessus 的 使 用 模式 
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3. 专用 漏洞 扫描 器 


专用 漏洞 扫描 器 是 主要 针对 特定 系统 的 安全 漏洞 检查 工具 ， 如 数据 库 漏 洞 扫描 器 、 网 络 设 


备 漏洞 扫描 器 、Web 漏洞 扫描 器 、 工 控 漏洞 扫描 器 。 
13.3.2 ”网 络 安全 漏洞 扫描 应 用 
网 络 安全 漏洞 扫描 常用 于 网 络 信息 系统 安全 检查 和 风险 评估 。 通常 利用 


现 服 务 器 、 网 站 、 网 络 设备 、 数 据 库 等 的 安全 隐患 ， 以 防止 攻击 者 利用 。 同 


漏洞 扫描 器 检查 发 
时 ， 根 据 漏洞 扫描 


器 的 结果 , 对 扫描 对 象 及 相关 的 业务 开展 网 络 安全 风险 评估 。 下 面 举 一 个 Windows 服务 器 漏洞 
扫描 的 实例 。 假 设 某 网 络 管理 员 拟 远程 检查 某 台 Windows 服务 器 是 否 存 在 RPC 漏洞 ， 以 防止 


网 络 蠕虫 攻击 。 该 服务 器 的 卫 地 址 是 192.168.X.Y， 则 漏洞 扫描 解决 方案 如 


下 s 


第 一 步 ， 网 络 管理 员 从 网 络 下 载 具 有 RPC 漏洞 扫描 功能 的 软件 retinarpcdcom.exe; 


第 二 步 ， 网 络 管理 员 把 retinarpcdcom .exe 安装 到 管理 机 上 ; 
第 三 步 ， 网 络 管理 员 运行 retinarpcdcom.exe; 

第 四 步 ， 网 络 管理 员 输 入 Windows 服务 器 的 下 地址 ; 

第 五 步 ， 网 络 管理 员 查 看 扫描 结果 ， 如 图 13-10 所 示 。 


会 Retina(R) - DCOM Scanner - Copyright eEye Digital Seeunity 


Retina(R) DCOM 


192.168. X.Y 


| Result 


192.1689 VULNERABLE 
192.168, " DCOM disabled 
192.1684 5 DCOM disabled 
192.1688 i VULNERABLE 
192.,1688 入 VULNERABLE 
192,1688 DCOM disabled 
192.168) DCOM disabled 
192.168} 《 VULNERABLE 
192,168. VULNERABLE 
192.168, DCOM disabled 
192.1684 DCOM disabled 
192.1688 更 VULNERABLE 
192.168 0 Cx . VULNERABLE 
192.,168 台 志 VULNERABLE 


oovowmwawne 区 


ey 
EB 


中 只 吕 
至 总 总 


PEye Digital 5ecurity scan completed! 


13-10 ”RPC 漏洞 扫描 示意 图 
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13.4 ”网 络 安全 漏洞 处 置 技术 与 应 用 


网 络 信息 系统 难以 避免 地 存在 网 络 安全 漏洞 ， 因而 网 络 安全 漏洞 处 置 是 网 络 安全 应 急 响应 
的 重要 工作 之 一 。 本 节 主要 叙述 网 络 安全 漏洞 发 现 技术 、 网 络 安全 漏洞 修补 技术 、 网 络 安全 漏 
洞 利用 防范 技术 。 
13.4.1 网 络 安全 漏洞 发 现 技术 


研究 表明 , 攻击 者 要 成 功 入 侵 , 关键 在 于 及 早 发 现 和 利用 目标 信息 系统 的 安全 漏洞 。 目前 
网 络 安全 漏洞 发 现 技术 成 为 网 络 安全 保障 的 关键 技术 。 然 而 ， 对 于 软件 系统 而 言 ， 其 功能 性 错 
误 容易 发 现 ， 但 软件 的 安全 性 漏洞 不 容易 发 现 。 举 例 来 说 ， 一 个 电子 邮件 服务 器 软件 实现 了 正 
常 的 发 送 要 求 ， 但 未 经 认证 ， 人 允许 任 何人 使 用 该 服务 器 发 送 邮件 ， 这 样 就 造成 了 攻击 者 使 用 该 
邮件 服务 器 制造 垃圾 邮件 的 安全 隐患 。 

网 络 安全 漏洞 的 发 现 方法 主要 依赖 于 人 工 安全 性 分 析 、 工 具 自动 化 检测 及 人 工 智 能 辅助 分 
析 。 安 全 漏洞 发 现 的 通常 方法 是 将 已 发 现 的 安全 漏洞 进行 总 结 ， 形 成 一 个 漏洞 特征 库 ， 然 后 利 
用 该 漏洞 库 ， 通 过 人 工 安全 分 析 或 者 程序 智能 化 识别 。 漏 洞 发 现 技术 主要 有 文本 搜索 、 词 法 分 
析 、 范 围 检 查 、 状 态 机 检查 、 错 误 注 入 、 模 糊 测试 、 动 态 污点 分 析 、 形 式 化 验证 等 。 典 型 的 网 
络 安全 漏洞 发 现 常见 工具 如 表 13-3 所 示 。 


表 13-3 网 络 安全 漏洞 发 现 常见 工具 


工具 名 称 简 要 描述 
Flawfinder 利用 词法 分 析 技术 发 现 以 C 语言 编写 的 源 程序 安全 漏洞 
Splint 检查 以 C 语言 编写 的 程序 安全 漏洞 
ITS4 检查 以 C 和 C++ 语言 编写 的 源 程序 安全 漏洞 
Grep 自 定义 漏洞 模式 ， 检 查 任意 源 程序 安全 漏洞 
MOPS 利用 状态 机 技术 来 分 析 以 C 语言 编写 的 源 程序 安全 漏洞 
W3AF Web 应 用 程序 漏洞 验证 
Wireshark 网 络 数据 包 分 析 软 件 
Metasploit 网 络 安全 漏洞 验证 软件 
OllyDBG 分 析 调 试 器 


13.4.2 ”网 络 安全 漏洞 修补 技术 


补丁 管理 是 一 个 系统 的 、 周 而 复 始 的 工作 ， 主要 由 六 个 环节 组 成 ， 分 别 是 现状 分 析 、 补 
丁 跟 踪 、 补 丁 验 证 、 补 丁 安装 、 应 急 处 理 和 补丁 检查 ， 如 图 13-11 所 示 。 
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补丁 检查 


图 13-11 补丁 管理 流程 图 


针对 补丁 管理 问题 ， 许 多 研究 机 构 和 公司 都 提供 了 解决 方案 ， 其 中 典型 产品 有 CA 公司 的 
eTrust Vulnerability Manager、 微软 的 Software Update Services (SUS) 、PatchLink 、LANDesk、 
北 信 源 内 网 安全 管理 及 补丁 分 发 系统 (VRVEDP) 等 。 


13.4.3 ”网 络 安全 漏洞 利用 防范 技术 

网 络 安全 漏洞 利用 防范 技术 主要 针对 漏洞 触发 利用 的 条 件 进行 干扰 或 拦截 ， 以 防止 攻击 者 
成 功利 用 漏洞 。 常 见 的 网 络 安全 漏洞 利用 防范 技术 主要 如 下 。 

1. 地 址 空间 随机 化 技术 

缓冲 区 溢出 攻击 是 利用 缓冲 区 溢出 漏洞 所 进行 的 攻击 行动 , 会 以 shellcode 地 址 来 覆盖 程序 
原 有 的 返回 地 址 。 地 址 空间 随机 化 〈Address Space Layout Randomization，ASLR) 就 是 通过 对 
程序 加 载 到 内 存 的 地 址 进行 随机 化 处 理 ， 使 得 攻击 者 不 能 事先 确定 程序 的 返回 地 址 值 ， 从 而 降 


低 攻击 成 功 的 概率 。 目 前 ， 针 对 Linux 系统 ， 通 过 ExecShield、PaX 工具 可 以 实现 程序 地 址 空 
间 的 随机 化 处 理 。 


2. 数据 执行 阻止 


数据 执行 阻止 (Data Execution Prevention，DEP) 是 指 操作 系统 通过 对 特定 的 内 存 区 域 标 
注 为 非 执 行 ， 使 得 代码 不 能 够 在 指定 的 内 存 区 域 运行 。 利 用 DEP， 可 以 有 效 地 保护 应 用 程序 的 
堆栈 区 域 ， 防 止 被 攻击 者 利用 。 


3. SEHOP 


SEHOP 是 Structured Exception Handler Overwrite Protection 的 缩写 ， 其 原理 是 防止 攻击 者 
利用 Structured Exception Handler (SEH) 重 写 。 


4. 堆栈 保护 
堆栈 保护 (Stack Protection) 的 技术 原理 是 通过 设置 堆栈 完整 性 标记 以 检测 函数 调用 返 


回 
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地 址 是 否 被 算 改 ， 从 而 阻止 攻击 者 利用 缓冲 区 漏洞 。 
5. 虚拟 补丁 


虚拟 补丁 的 工作 原理 是 对 尚未 进行 漏洞 永久 补丁 修复 的 目标 系统 程序 ,在 不 修改 可 执行 程 
序 的 前 提 下 ， 检 测 进入 目标 系统 的 网 络 流量 而 过 滤 掉 漏洞 攻击 数据 包 ， 从 而 保护 目标 系统 程序 
免 受 攻击 。 虚 拟 补丁 通过 入 侵 阻 断 、Web 防火 墙 等 相关 技术 来 实现 给 目标 系统 程序 “ 打 补 丁 ”， 
使 得 黑客 无 法 利用 漏洞 进行 攻击 。 


13.5 网络 安全 漏洞 防护 主要 产品 与 技术 指标 


网 络 安 全 漏洞 防护 是 网 络 信息 系统 安全 运 维 的 日 常 工作 ,涉及 网 络 安全 漏洞 扫描 、 网 络 安 
全 漏洞 发 现 和 信息 获取 、 网 络 安全 漏洞 利用 拦截 等 。 本 节 阐 述 网 络 安全 漏洞 防护 的 主要 产品 和 
技术 指标 ， 给 出 相关 参考 产品 及 网 络 安全 漏洞 服务 平台 。 


13.5.1 网 络 安全 漏洞 扫描 器 


网 络 安全 漏洞 扫描 器 的 产品 技术 原理 是 利用 已 公开 的 漏洞 信息 及 特征 ， 通 过 程序 对 目标 系 
统 进行 自动 化 分 析 , 以 确认 目标 系统 是 否 存在 相应 的 安全 漏洞 。 漏洞 扫描 器 产品 通常 简称 为 “ 漏 
扫 ”。 漏 洞 扫描 器 既是 攻击 者 的 有 力 工 具 ， 又 是 防守 者 的 必 备 工具 。 利 用 漏洞 扫描 器 可 以 自动 
检查 信息 系统 的 漏洞 ， 以 便 及 时 消除 安全 隐患 。 

目前 , 各 种 类 型 的 漏洞 扫描 器 产品 有 许多 。 国际 商业 产品 有 IBM Rational AppScan、Qualys、 
Shadow Security Scanner。 国 内 商业 产品 有 绿 盟 远程 安全 评估 系统 、 天 融 信 的 脆弱 性 扫描 与 管理 
系统 、 启 明星 辰 的 天 镜 脆 弱 性 扫描 与 管理 系统 、 安 恒 明 鉴 数据 库 漏洞 扫描 系统 等 。 开 源 漏洞 扫 
描 器 有 Nessus、OpenVAS、Nmap 等 。 

网 络 安全 漏洞 扫描 产品 常见 的 技术 指标 图 述 如 下 : 

(1) 漏洞 扫描 主机 数量 。 产 品 扫描 主机 的 数量 ， 有 无 卫 或 域名 限制 。 

(2) 漏洞 扫描 并 发 数 。 产 品 支持 并 发 扫描 任务 的 数量 。 

(3) 漏洞 扫描 速度 。 产 品 在 单位 时 间 内 完成 扫描 漏洞 任务 的 效率 。 

(4) 漏洞 检测 能 力 。 产 品 检查 漏洞 的 数量 和 类 型 ， 提 供 的 漏洞 知识 库 中 是 否 覆 盖 主 流 操作 
系统 、 数 据 库 、 网 络 设备 。 

(5) 数据 库 漏洞 检查 功能 。 对 Oracle、MySQL、MS SQL、DB2、Sybase、PostgreSQL、 
Mongo DB 等 数据 库 漏洞 检查 的 支持 程度 。 

(6) Web 应 用 漏洞 检查 功能 。 对 SQL 注入 、 跨 站 脚本 、 网 站 挂 马 、 网 页 木马 、CGI 漏洞 
等 的 检查 能 力 。 

(7) 口令 检查 功能 。 产 品 支持 的 口令 猜测 方式 类 型 ， 常 见 的 口令 猜测 方式 是 利用 SMB、 
Telnet、 FTP、SSH、POP3、Tomcat、SQL Server、MySQL、Oracle、Sybase、DB2、SNMP 等 
进行 口令 猜测 。 是 否 支持 外 挂 用 户 提供 的 用 户 名 字典 、 密 码 字 典 和 用 户 名 密码 组 合 字典 。 
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(8) 标准 兼容 性 。 产 品 漏洞 信息 是 否 兼容 CVE、CNNVD、CNVD、BugTraq 等 主流 标准 ， 
并 提供 CVE 兼容 (CVE Compatible) 证 书 。 
(9) 部 署 环境 难 易 程度 。 产 品 对 部 署 环境 要 求 的 复杂 程度 , 是 否 支 持 虚拟 化 VM 平台 部 署 。 


13.5.2 ”网 络 安全 漏洞 服务 平台 


网 络 安全 产业 界 推 出 漏洞 相关 的 产品 与 服务 ， 如 漏洞 盒子 、 补 天 漏洞 响应 平台 、 网 络 威胁 

情报 服务 等 。 

。 ”漏洞 盒子 隶属 于 上 海 斗 象 信息 科技 有 限 公 司 ， 是 一 个 专业 的 互联 网 安全 测试 平台 。 自 
上 线 至 今 已 有 很 多 互联 网 及 传统 厂商 在 漏洞 盒子 平台 发 布 了 安全 测试 的 项 目 ， 上 万 名 
白 帽 子 为 这 些 厂 商 提交 了 非常 多 的 高 威胁 性 安全 问题 ， 保 障 了 厂商 业务 的 安全 。 

。 ” 补 天 漏洞 响应 平台 是 专注 于 漏洞 响应 的 第 三 方 公益 平台 ， 通 过 SRC、 众 测 等 方式 引导 民 
间 的 白 帆 力量, 以 安全 众 包 的 形式 让 白 帽 子 成 员 模拟 攻击 者 发 现 安全 问题 , 实现 高 效 的 漏 
洞 报告 与 响应 服务 ， 协 助 企 业 树立 动态 、 综 合 的 防护 理念 ， 维 护 企业 的 网 络 安全 。 

。 ”网 络 威胁 情报 服务 常 以 安全 漏洞 通报 的 方式 提供 服务 。 相 关 服 务 机 构 主 要 是 网 络 安全 
应 急 响应 部 门 、 网 络 安全 厂商 等 ， 如 国家 互联 网 应 急 中 心 CNCERT、CNCERT 网 络 安 
全 应 急 服务 支撑 单位 、CNVD (国家 信息 安全 漏洞 共享 平台 ) 技术 组 成 员 单位 、 国 家 
网 络 与 信息 安全 信息 通报 中 心 技术 支持 单位 。 


13.5.3 ”网 络 安全 漏洞 防护 网 关 


网 络 安全 漏洞 防护 网 关 的 产品 原理 是 通过 从 网 络 流量 中 提取 和 识别 漏洞 利用 特征 模式 ， 阻 
止 攻击 者 对 目标 系统 的 漏洞 利用 。 常 见 产品 的 形式 是 IPS ( Intrusion Prevention System) 、Web 
防火 墙 (简称 WAF) 、 统 一 威胁 管理 (UTM) 等 。 相 关 产品 常见 的 技术 指标 主要 如 下 : 

。 ” 阻 断 安全 漏洞 攻击 的 种 类 与 数量 。 产 品 能 够 防御 安全 漏洞 被 攻击 利用 的 类 型 及 数量 。 

。 ” 阻 断 安全 漏洞 攻击 的 准确 率 。 产 品 能 够 检测 并 有 效 阻止 安全 漏洞 被 攻击 利用 的 正确 程度 。 

。 ” 阻 断 安全 漏洞 攻击 的 性 能 。 在 单位 时 间 内 ， 产 品 能 够 检测 并 有 效 阻止 安全 漏洞 被 攻击 

利用 的 数量 。 

。 ”支持 网 络 带宽 的 能 力 。 产 品 对 网 络 流量 大 小 的 控制 能 力 。 


13.6 ”本 章 小 结 


本 章 内 容 主 要 有 : 第 一 ， 给 出 了 网 络 安全 漏洞 的 概念 ， 曾 述 了 网 络 安全 漏洞 的 威胁 ， 介 绍 
了 网 络 安全 漏洞 问题 现状 ;第 二 ， 给 出 了 网 络 安全 漏洞 的 主要 来 源 、 网 络 安全 漏洞 的 发 布 机 制 
以 及 常用 的 漏洞 信息 获取 方式 ， 第 三 ， 系 统 地 说 明了 网 络 安全 漏洞 扫描 的 技术 方法 和 漏洞 扫描 
器 的 组 成 ， 列 举 了 常用 的 漏洞 扫描 软件 工具 ， 举 例 说 明了 漏洞 扫描 应 用 ; 第 四 ， 和 叙述 了 网 络 安 
全 漏洞 的 发 现 、 修 补 、 利 用 防范 等 处 置 技 术 以 及 网 络 安全 漏洞 防护 相关 产品 。 
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14.1 恶意 代码 概述 


恶意 代码 是 网 络 安全 的 主要 威胁 ， 本 节 主 要 阐述 恶意 代码 的 概念 和 分 类 ， 给 出 恶意 代码 的 
攻击 模型 ， 分 析 恶 意 代码 的 生存 技术 、 攻 击 技术 、 分 析 技 术 以 及 防范 策略 。 


14.1.1 恶意 代码 定义 与 分 类 


恶意 代码 的 英文 是 Malicious Code， 它 是 一 种 违背 目标 系统 安全 策略 的 程序 代码 ， 会 造成 
目标 系统 信息 泄露 、 资 源 滥 用 ， 破 坏 系统 的 完整 性 及 可 用 性 。 它 能 够 经 过 存储 介质 或 网 络 进行 
传播 ， 从 一 台 计 算 机 系统 传 到 另外 一 台 计 算 机 系统 ， 未 经 授权 认证 访问 或 破坏 计算 机 系统 。 通 
常 许多 人 认为 “病毒 ”代表 了 所 有 感染 计 
算 机 并 造成 破坏 的 程序 。 事 实 上 ， “恶意 恶意 代码 
代码 ”的 说 法 更 为 通用 ， 病 毒 只 是 一 类 恶 
意 代码 而 已 。 恶 意 代 码 的 种 类 主要 包括 计 
算 机 病毒 (Computer Virus ) 、 蠕 虫 
(Worms) 、 特 洛 伊 木 马 (Trojan Horse) 、 
逻辑 炸弹 (Logic Bombs)、 细 菌 (Bacteria)、 
恶意 脚本 (Malicious Scripts ) 和 恶意 
ActiveX 控件 、 间 谍 软 件 (Spyware) 等。 
根据 恶意 代码 的 传播 特性 ， 可 以 将 恶意 代 
码 分 为 两 大 类 ， 如 图 14-1 所 示 。 

恶意 代码 是 一 个 不 断 变化 的 概念 。 在 20 世纪 80 年 代 ， 恶 意 代 码 的 早期 主要 形式 是 计算 机 
病毒 。1984 年 ，Cohen 在 美国 国家 计算 机 安全 会 议 上 演示 了 病毒 的 实验 。 人 们 普遍 认为 ， 世 界 
上 首 例 病毒 是 由 他 创造 的 。1988 年 ， 美 国 康 奈 尔 大 学 的 学 生 Morris 制造 了 世界 上 首 例 “ 网 络 
蠕虫 ”， 简 称 为 “小 莫 里 斯 蠕虫 ”， 该 蠕虫 一 夜 之 间 攻 击 了 网 上 约 6200 台 计 算 机 。 美 国政 府 
为 此 成 立 世 界 上 第 一 个 计算 机 安全 应 急 响应 组 织 (CERT) 。1989 年 4 月 ， 中 国 首次 发 现 小 球 
病毒 。 从 此 后 ， 国 外 的 其 他 计算 机 病毒 纷纷 走 进 国门 ， 迅 速 地 蔓延 全 国 。20 世纪 90 年 代 ， 恶 
意 代码 的 定义 随 着 计算 机 网 络 技术 的 发 展 逐 渐 丰 富 ，1996 年 出 现 Word 宏 病 毒 ，1998 年 出 现 
CIH 病毒 ， 特 洛 伊 木 马 已 达到 数 万 种 。 最 近 几 年 ， 新 的 破坏 力 强 的 网 络 蠕虫 相继 出 现 ， 如 红色 
代码 、Slammer 蠕虫 、 冲 击 波 蠕虫 等 ， 此 外 恶意 的 间谍 软件 《Spyware) 也 出 现 。 目 前 ， 恶 意 代 
码 正 在 全 世界 各 国 的 商业 系统 、 政 府 部 门 、 军 事 系统 、 教 育 系 统 及 其 他 的 计算 机 网 络 系统 中 草 


被 动 传播 [主动 传播 | 


14-1 恶意 代码 分 类 示意 图 
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延 。 恶 意 代码 不 仅 破坏 了 许多 宝贵 的 信息 资源 ， 而 且 给 计算 机 的 发 展 和 人 类 社会 的 前 进 蒙 上 了 
阴影 。 随 着 计算 机 技术 的 普及 和 信息 网 络 化 的 发 展 ， 恶 意 代码 的 危害 性 日 益 扩 大 。 亚 意 代码 的 
传播 和 植 入 能 力 由 被 动向 主动 转变 ， 由 本 地 主机 向 网 络 发 展 ， 恶 意 代码 具有 更 强 的 隐蔽 性 ， 不 
仅 实现 进程 隐藏 和 内 容 隐藏 ， 而 且 也 能 做 到 通信 方式 隐藏 。 在 恶意 代码 的 攻击 目标 方面 ， 恶 意 
代码 由 单机 环境 向 网 络 环境 转变 ， 从 有 线 网 络 环境 向 无 线 网 络 环境 演变 ， 现 在 已 经 出 现 手 机 病 
毒 。 更 令 人 担忧 的 是 ， 恶 意 代码 逐渐 拥有 抗 监测 能 力 ， 如 通过 变形 技术 来 逃避 安全 防御 机 制 。 


14.1.2 ”恶意 代码 攻击 模型 


恶意 代码 的 行为 不 尽 相 同 ， 破 坏 程度 也 各 不 相同 ， 但 它们 的 作用 机 制 基 本 相同 。 其 作用 过 
程 可 大 概 分 为 以 下 6 个 步骤 : 

第 一 步 ， 侵 入 系统 。 恶 意 代 码 实现 其 恶意 目的 第 一 步 就 是 要 侵入 系统 。 恶 意 代码 入 侵 有 许 
多 途径 ， 如 : 从 互联 网 下 载 的 程序 ， 其 自身 也 许 就 带 有 恶意 代码 ; 接收 了 已 被 恶意 感染 的 电子 
邮件 ， 通 过 光盘 或 软盘 在 系统 上 安装 的 软件 ;攻击 者 故意 植 入 系统 的 恶意 代码 等 。 

第 二 步 ， 维 持 或 提升 已 有 的 权限 。 恶 意 代码 的 传播 与 破坏 需要 建立 在 盗用 用 户 或 者 进程 的 
合法 权限 的 基础 之 上 。 

第 三 步 ， 隐 蔽 。 为 了 隐蔽 已 经 侵入 系统 的 恶意 代码 ， 可 能 会 采取 对 恶意 代码 改名 、 删 除 源 
文件 或 者 修改 系统 的 安全 策略 等 方式 。 

第 四 步 ， 潜 伏 。 恶 意 代码 侵入 系统 后 ， 在 具有 足够 的 权限 并 满足 某 些 条件 时 就 会 发 作 ， 同 
时 进行 破坏 活动 。 

第 五 步 ， 破 坏 。 恶 意 代 码 具有 破坏 性 的 本 质 ， 为 的 是 造成 信息 丢失 、 泄 密 ， 系 统 完整 性 被 破 
坏 等 。 

第 六 步 ， 重 复 前 面 5 步 对 新 的 目标 实施 攻击 过 程 。 

恶意 代码 的 攻击 模型 如 图 14-2 所 示 。 恶 意 代码 的 攻击 过 程 可 以 存在 于 恶意 代码 攻击 模型 


中 的 部 分 或 全 部 阶段 。 
恶意 代码 


确定 攻击 目标 
搜集 目标 信息 


4 
实施 隐藏 策略 @ 


这 


获得 超级 
户 权限 @) 


14-2 ”恶意 代码 的 攻击 模型 示意 图 
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14.1.3 ”恶意 代码 生存 技术 


1. 反 跟 踪 技术 


恶意 代码 靠 采用 反 跟 踪 技 术 来 提高 自身 的 伪装 能 力 和 防 破译 能 力 ， 使 检测 与 清除 恶意 代码 
的 难度 大 大 增加 。 反 跟踪 技术 大 致 可 以 分 为 两 大 类 : 反动 态 跟踪 技术 和 反 静 态 分 析 技 术 。 

1) 反动 态 跟踪 技术 

。 ”禁止 跟踪 中 断 。 针 对 调试 分 析 工具 运行 系统 的 单 步 中 断 与 断 点 中 断 服 务 程序 ， 恶 意 代 
码 通过 修改 中 断 服务 程序 的 入 口 地 址 来 实现 其 反 跟 踪 的 目的 。1575 计算 机 病毒 使 用 该 
方法 将 堆栈 指针 指向 处 于 中 断 向 量 表 中 的 NT0 至 INT 3 区 域 ， 阻 止 调试 工具 对 其 代 
码 进 行 跟踪 ， 封 锁 键盘 输入 和 屏幕 显示 ， 使 跟踪 调试 工具 运行 的 必需 环境 被 破坏 。 

。 ”检测 跟踪 法 。 根据 检测 跟踪 调试 时 和 正常 执行 时 的 运行 环境 、 中断 入 口 和 时 间 的 不 同 
采取 相应 的 措施 实现 其 反 跟踪 目的 。 例 如 ， 通 过 操作 系统 的 API 函数 试图 打开 调试 器 
的 驱动 程序 句柄 ， 检 测 调试 器 是 否 激活 确定 代码 是 否 继续 运行 。 

。。 其 他 反 跟 踪 技 术 。 如 指令 流 队列 法 和 逆 指 令 流 法 等 。 

2) 反 静 态 分 析 技 术 

。 ”对 程序 代码 分 块 加 密 执行 。 为 了 不 让 程序 代码 通过 反 汇 编 进行 静态 分 析 ， 将 分 块 的 程 
序 代码 以 密 文 形式 装 入 内 存 ， 由 解密 程序 在 执行 时 进行 译 码 ， 立 即 清除 执行 完毕 后 的 
代码 ， 力 求 分 析 者 在 任何 时 候 都 无 法 从 内 存 中 获得 执行 代码 的 完整 形式 。 

。 ” 伪 指 令 法 。 伪 指令 法 指 将 “ 废 指令 ”插入 指令 流 中 ， 让 静态 反 汇 编 得 不 到 全 部 正常 的 
指令 ,进而 不 能 进行 有 效 的 静态 分 析 。 例 如 ,Apparition 是 一 种 基于 编译 器 变形 的 Win32 
平台 的 病毒 ， 每 次 新 的 病毒 体 可 执行 代码 被 编译 器 编译 出 来 时 都 要 被 插入 一 定数 量 的 
伪 指令 ， 不 仅 使 其 变形 ， 而 且 实现 了 反 跟 踪 的 目的 。 不 仅 如 此 ， 伪 指令 技术 还 广泛 应 
用 于 宏 病毒 与 脚本 恶意 代码 之 中 。 


2. 加 密 技 术 


加 密 技 术 是 恶意 代码 进行 自我 保护 的 手段 之 一 ， 再 配合 反 跟 踪 技 术 的 使 用 ， 让 分 析 者 不 能 
正常 调试 和 阅读 恶意 代码 ， 无 法 获得 恶意 代码 的 工作 原理 ， 自 然 也 不 能 抽取 特征 串 。 从 加 密 的 
内 容 上 划分 ， 加 密 手段 有 三 种 ， 即 信息 加 密 、 数 据 加 密 和 程序 代码 加 密 。 大 部 分 恶意 代码 对 程 
序 体 本 身 加 密 ， 但 还 有 少数 恶意 代码 对 被 感染 的 文件 加 密 。 例 如 ，Cascade 是 第 一 例 采 用 加 密 
技术 的 DOS 环境 下 的 恶意 代码 , 其 解密 器 稳定 , 能 够 解密 内 存 中 加 密 的 程序 体 , Mad 和 Zombie 
是 Cascade 加 密 技术 的 延伸 ， 让 恶意 代码 加 密 技术 扩展 到 32 位 的 操作 系统 平台 。 此 外 , “中 国 
炸弹 ”和 “幽灵 病毒 ”也 是 这 一 类 恶意 代码 。 
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3. 模糊 变换 技术 


恶意 代码 每 感染 一 个 客体 对 象 时 都 会 利用 模糊 变换 技术 使 潜入 宿主 程序 的 代码 不 尽 相同 。 
尽管 是 同一 种 恶意 代码 ， 但 仍 会 具有 多 个 不 同样 本 ， 几 乎 不 存在 稳定 的 代码 ， 只 采用 基于 特征 


的 检测 了 


[ 具 一 般 无 法 有 效 识别 它们 。 随 着 这 类 恶意 代码 的 增多 ， 不 但 使 病毒 检测 和 防御 软件 的 


编写 难度 加 大 ， 还 会 使 反 病毒 软件 的 误 报 率 增加 。 
目前 ， 模 糊 变 换 技 术 主 要 分 为 以 下 几 种 : 


指令 葵 换 技术 。 模 糊 变 换 引 擎 (Mutation Engine) 对 恶意 代码 的 二 进 制 代码 进 行 反 汇 
编 ， 解 码 并 计算 指令 长 度 ， 再 对 其 同 义 变换 。 例 如 ， 指 令 XOR REG，REG 被 变换 为 
SUB REG, REG; 寄存 器 REG1 和 寄存 器 REG2 互 换 ; JMP 指令 和 CALL 指令 变换 等 。 
Regswap 就 使 用 了 寄存 器 互 换 这 一 变形 技术 。 

指令 压缩 技术 。 经 恶意 代码 反 汇 编 后 的 全 部 指令 由 模糊 变换 器 检测 ， 对 可 压缩 的 指令 
同 义 压 缩 。 压 缩 技术 要 想 使 病毒 体 代码 的 长 度 发 生 改变 ， 必 须 对 病毒 体内 的 跳 转 指令 
重 定位 。 例如 指令 MOV REG, 12345678 /PUSH REG 变换 为 指令 PUSH 12345678 等 。 
指令 扩展 技术 。 扩 展 技术 是 对 汇编 指令 进行 同 义 扩展 ， 所 有 经 过 压缩 技术 变换 的 指令 
都 能 够 使 用 扩展 技术 来 进行 逆 变 换 。 扩 展 技术 远 比 压缩 技术 的 可 变换 空间 大 ， 指 令 甚 
至 能 够 进行 几 十 或 上 百 种 的 扩展 变换 。 扩 展 技术 也 需要 对 恶意 代码 的 长 度 进行 改变 ， 
进行 恶意 代码 中 跳 转 指令 的 重 定位 。 

伪 指令 技术 。 伪 指令 技术 主要 是 将 无 效 指令 插入 恶意 代码 程序 体 ， 例 如 空 指令 。 

重 编译 技术 。 使 用 重 编译 技术 的 恶意 代码 中 携带 恶意 代码 的 源码 ， 要 在 自 带 编译 器 或 
者 操作 系统 提供 编译 器 的 基础 上 进行 重新 编译 ， 这 种 技术 不 仅 实 现 了 变形 的 目的 ， 而 
且 为 跨 平 台 的 恶意 代码 的 出 现 提供 了 条 件 。 这 表现 在 UNIX/Linux 操作 系统 ， 系 统 默 
认 配 置 有 标准 C 的 编译 器 。 宏 病毒 和 脚本 恶意 代码 是 典型 的 采用 这 类 技术 变形 的 恶意 
代码 。Tequtla 是 第 一 例 在 全 球 范围 传播 和 破坏 的 变形 病毒 ， 从 其 出 现 到 研发 出 可 以 有 
效 检测 该 病毒 的 软件 ， 一 共 花费 了 研究 人 员 9 个 月 的 时 间 。 


4. 自动 生产 技术 


普通 病毒 能 够 利用 “多 态 性 发 生 器 ”编译 成 具有 多 态 性 的 病毒 。 多 态 变换 引擎 能 够 让 程序 
代码 本 身 产生 改变 ， 但 却 可 以 保持 原 有 功能 。 例 如 保加利亚 的 “Dark Avenger”， 变 换 引擎 每 
产生 一 个 恶意 代码 , 其 程序 体 都 会 发 生变 化 , 反 恶 意 代 码 软件 车 只 是 采用 基于 特征 的 扫描 技术 
则 无 法 检测 和 清除 这 种 恶意 代码 。 


5. 变形 技术 


在 恶意 代码 的 查 杀 过 程 中 ,多 数 杀毒 厂商 通过 提取 恶意 代码 特征 值 的 方式 对 恶意 代码 进行 
分 辨 。 这 种 基于 特征 码 的 病毒 查 杀 技术 的 致命 缺点 是 需要 一 个 特征 代码 库 ， 同 时 这 个 库 中 的 代 


第 14 章 恶意 代码 防范 技术 原理 “ 国 26 荐 


码 要 具有 固定 性 。 病 毒 设计 者 利用 这 一 漏洞 ， 设 计 出 具体 同一 功能 不 同 特征 码 的 恶意 代码 。 这 
种 变换 恶意 代码 特征 码 的 技术 称 为 变形 技术 。 常 见 的 恶意 代码 变形 技术 包括 如 下 几 个 方面 : 
。 ” 重 汇 编 技术 。 变 形 引 擎 对 病毒 体 的 二 进 制 代码 进行 反 汇 编 ， 解 码 每 一 条 指令 ， 并 对 指 
令 进行 同 义 变换 。 如 “Regswap” 就 采用 简单 的 寄存 器 互 换 的 变形 。 
。 ”压缩 技术 。 变 形 器 检测 病毒 体 反 汇编 后 的 全 部 指令 ， 对 可 进行 压缩 的 一 段 指令 进行 同 
。 ”膨胀 技术 。 压 缩 技术 的 逆 变 换 就 是 对 汇编 指令 同 义 膨胀 。 
。 ” 伪 指 令 技 术 。 伪 指令 技术 主要 是 对 病毒 体 插入 废 指令 ， 例 如 空 指令 、 跳 转 到 下 一 指令 
。 重 编译 技术 。 病 毒 体 携带 病毒 体 的 源码 ， 需 要 自 带 编译 器 或 者 利用 操作 系统 提供 的 编 
译 器 进行 重新 编译 ， 这 为 跨 平台 的 恶意 代码 的 出 现 打 下 了 基础 。 


6. 三 线程 技术 


恶意 代码 中 应 用 三 线程 技术 是 为 了 防止 恶意 代码 被 外 部 操作 停止 运行 。 三 线程 技术 的 工作 
原理 是 一 个 恶意 代码 进程 同时 开启 了 三 个 线程 ， 其 中 一 个 为 负责 远程 控制 工作 的 主线 程 ， 另 外 
两 个 为 用 来 监视 线程 负责 检查 恶意 代码 程序 是 否 被 删除 或 被 停止 自 启动 的 监视 线程 和 守护 线 
程 。 注 入 其 他 可 执行 文件 内 的 守护 线程 ， 同 步 于 恶意 代码 进程 。 只 要 进程 被 停止 ， 它 就 会 重新 
启动 该 进程 ， 同 时 向 主线 程 提供 必要 的 数据 ， 这 样 就 使 得 恶意 代码 可 以 持续 运行 。“ 中 国 黑客 ” 
就 是 采用 这 种 技术 的 恶意 代码 。 


7. 进程 注入 技术 


在 系统 启动 时 操作 系统 的 系统 服务 和 网 络 服务 一 般 能 够 自动 加 载 。 恶 意 代码 程序 为 了 实现 
隐藏 和 启动 的 目的 ， 把 自身 嵌入 与 这 些 服务 有 关 的 进程 中 。 这 类 恶意 代码 只 需要 安装 一 次 ， 就 
能 被 服务 加 载 到 系统 中 和 运行， 并且 可 以 一 直 处 于 活跃 状态 。 如 Windows 下 的 大 部 分 关键 服务 
程序 能 够 被 “WinEggDropShell” 注 入 。 


8. 通信 隐藏 技术 


实现 恶意 代码 的 通信 隐藏 技术 一 般 有 四 类 : 端口 定制 技术 、 端 口 复 用 技术 、 通 信 加 密 技术 、 
隐蔽 通道 技术 。 

。 端口 定制 技术 ， 旧 木马 几乎 都 存在 预 设 固定 的 监听 端口 ， 但 是 新 木马 一 般 都 有 定制 端 
口 的 功能 。 优 点 : 木马 检测 工具 的 一 种 检测 方法 就 是 检测 缺 省 端口 ， 定 制 端口 可 以 避 
过 此 方法 的 检测 。 

。 ”端口 复 用 技术 利用 系统 网 络 打开 的 端口 (如 25 和 139 等 ) 传送 数据 。 木 马 Executor | 
80 端口 传递 控制 信息 和 数据 ; Blade Runner、 Doly Trojan、 Fore、 FTP Trojan、 Larva、 ebEx、 
WinCrash 等 木马 复 用 21 端口 ，Shtrilitz Stealth、Terminator、WinPC、WinSpy 等 木马 复 用 


国 266 荐 。 信息 安全 工程 师 教 程 第 2 版 ) 


25 端口 。 使 用 端口 复 用 技术 的 木马 在 保证 端口 默认 服务 正常 工作 的 条 件 下 复 用 ， 具 有 很 
强 的 欺骗 性 ， 可 欺骗 防火 墙 等 安全 设备 ， 可 避 过 IDS 和 安全 扫描 系统 等 安全 工具 。 

。 ”通信 加 密 技 术 ， 即 将 恶意 代码 的 通信 内 容 加 密 发 送 。 通 信 加 密 技 术 胜 在 能 够 使 得 通信 
内 容 隐 藏 ， 但 次 端 是 通信 状态 无 法 隐藏 。 

。 ”隐蔽 通道 技术 能 有 效 隐藏 通信 内 容 和 通信 状态 ， 目 前 常见 的 能 提供 隐蔽 通道 方式 进行 
通信 的 后 门 有 : BO2K、Code Red I、Nimida 和 Covert TCP 等 。 但 恶意 代码 编写 者 需 
要 耗费 大 量 时 间 以 便 找 寻 隐 蔽 通道 。 


9. 内 核 级 隐藏 技术 


1) LKM 隐藏 

LKM 是 可 加 载 内 核 模 块 ， 用 来 扩展 Linux 的 内 核 功能 。LKM 能 够 在 不 用 重新 编译 内 核 的 
情况 下 把 动态 加 载 到 内 存 中 。 基 于 这 个 优点 ，LKM 技术 经 常 使 用 在 系统 设备 的 驱动 程序 和 
Rootkit 中 。LKM Rootkit 通过 系统 提供 的 接口 加 载 到 内 核 空间 ， 将 恶意 程序 转化 成 内 核 的 某 一 
部 分 ， 再 通过 hook 系统 调用 的 方式 实现 隐藏 功能 。 

2) 内 存 映射 隐藏 

内 存 映射 是 指 由 一 个 文件 到 一 块 内 存 的 映射 。 内 存 映 射 可 以 将 硬盘 上 的 内 容 映 射 至 内 存 
中 ， 用 户 可 以 通过 内 存 指令 读 写 文件 。 使 用 内 存 映 射 避免 了 多 次 调用 IO 操作 的 行为 ， 减 少 了 
不 必要 的 资源 浪费 。 


14.1.4 ”恶意 代码 攻击 技术 


1. 进程 注入 技术 


系统 服务 和 网 络 服务 在 操作 系统 中 ， 当 系统 启动 时 被 自动 加 载 。 进 程 注入 技术 就 是 将 这 些 
与 服务 相关 的 嵌入 了 恶意 代码 程序 的 可 执行 代码 作为 载体 ， 实 现 自身 隐藏 和 启动 的 目的 。 这 类 
恶意 代码 只 需要 安装 一 次 ， 就 能 被 服务 加 载 到 系统 中 运行 ， 并 且 可 以 一 直 处 于 活跃 状态 。 


2. 超级 管理 技术 


部 分 恶意 代码 能 够 攻击 反 恶意 代码 软件 。 恶 意 代码 采用 超级 管理 技术 对 反 恶 意 代 码 软件 系 
统 进行 拒绝 服务 攻击 ， 阻 碍 反 恶 意 代码 软件 的 正常 运行 。 例 如 ，“ 广 外 女生 ”是 一 个 国产 特 洛 
伊 木马， 对 “金山 毒霸 ”和 “天 网 防火 墙 ” 采 用 超级 管理 技术 进行 拒绝 服务 攻击 。 


3. 端口 反 向 连接 技术 


防火 墙 对 于 外 网 进入 内 部 的 数据 流 有 严格 的 访问 控制 策略 , 但 对 于 从 内 到 外 的 数据 并 没有 
严格 控制 。 指 令 恶 意 代码 使 用 端口 反 向 连接 技术 使 攻击 的 服务 端 〈 被 控制 端 ) 主动 连接 客户 端 
(控制 端 ) 端口 。 最 早 实现 这 项 技术 的 木马 程序 是 国外 的 “Boinet”, 它 可 以 通过 ICO、IRC、 HTTP 
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和 反 向 主动 连接 这 4 种 方式 联系 客户 端 。“ 网 络 神偷 ”是 我 国 最 早 实现 端口 反 向 连接 技术 的 恶 
意 代码 。“ 灰 久子 ” 则 是 这 项 技术 的 集大成 者 ， 它 内 置 FTP、 域 名 、 服 务 端 主动 连接 这 3 种 服 
务 端 在 线 通知 功能 。 

4. 缓冲 区 溢出 攻击 技术 

恶意 代码 利用 系统 和 网 络 服务 的 安全 漏洞 植 入 并 且 执 行 攻击 代码 ,攻击 代码 以 一 定 的 权限 
运行 有 缓冲 区 溢出 漏洞 的 程序 来 获得 被 攻击 主机 的 控制 权 。 缓 冲 区 溢出 攻击 成 为 恶意 代码 从 被 
动 式 传播 转 为 主动 式 传播 的 主要 途径 之 一 .例如 , “红色 代码 ”利用 IS Server 上 Indexing Service 
的 缓冲 区 溢出 漏洞 完成 攻击 、 传 播 和 破坏 等 恶意 目的 。 


14.1.5 ”恶意 代码 分 析 技 术 


如 图 14-3 所 示 ， 恶 意 代码 的 分 析 方 法 由 静态 分 析 方法 和 动态 分 析 方 法 两 部 分 构成 。 其 中 
静态 分 析 方 法 有 反 恶 意 代 码 软 件 的 检查 、 字 符 串 分 析 和 静态 反 编译 分 析 等 ， 动 态 分 析 方 法 包括 
文件 监测 、 进 程 监测 、 注 册 表 监测 和 动态 反 汇编 分 析 等 。 


恶意 代码 的 分 析 方法 


Vv 
静态 分 析 


图 14-3 恶意 代码 的 分 析 方 法 示意 图 


1. 静态 分 析 方 法 


恶意 代码 的 静态 分 析 主 要 包括 以 下 方法 : 

(1) 反 亚 意 代码 软件 的 检测 和 分 析 。 反 恶意 代码 软件 检测 恶意 代码 的 方法 有 特征 代码 法 、 
校 验 和 法 、 行 为 监测 法 、 软 件 模拟 法 等 。 根 据 恶意 代码 的 信息 去 搜寻 更 多 的 资料 ， 若 该 恶意 代 
码 的 分 析 数 据 已 被 反 亚 意 代码 软件 收录 ， 那 就 可 以 直接 利用 它们 的 分 析 结 果 。 

(2) 字符 串 分 析 。 字 符 串 分 析 的 目的 是 寻找 文件 中 使 用 的 ASCII 或 其 他 方法 编码 的 连续 字 
符 串 。 一些 有 用 的 信息 可 以 通过 在 恶意 代码 样本 中 搜寻 字符 串 得 到 ， 比 如 : 中 恶意 代码 的 名 字 ; 
加 帮助 和 命令 行 选项 ， 图 用 户 对 话 框 ， 可 以 通过 它 分 析 恶 意 代码 的 目的 ; 图 后 门 密码 ; @@ 恶 意 
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代码 相关 的 网 址 ; @ 恶 意 代码 作者 或 者 攻击 者 的 E-mail 地 址 ; @ 〇 恶意 代码 用 到 的 库 , 函数 调用 ， 
以 及 其 他 的 可 执行 文件 ，@ 其 他 的 有 用 的 信息 。 

(3) 脚本 分 析 。 恶 意 代码 如 果 是 用 JS、Perl 或 者 shell 脚本 等 脚本 语言 编写 的 ， 那 么 恶意 
代码 本 身 就 可 能 带 有 源 代码 。 通 过 文本 编辑 器 将 脚本 打开 查看 源 代码 。 脚 本 分 析 能 帮助 分 析 者 
用 较 短 时 间 识 别 出 大 量 流行 的 脚本 类 型 ， 表 14-1 列 出 了 常用 脚本 语言 。 


表 14-1 常用 脚本 语言 


脚本 语言 在 文件 中 识别 其 特征 文件 通常 后 缀 
Boume Shell 以 Wbin/sh 开始 
Perl 以 !Wusr/bin/perl 开始 .perl 
JavaScript 以 <Script language = "JavaScript"> 形式 出 现 ‘html, .htm 
VBScript 包含 单词 VBScript 或 者 在 文件 中 散布 着 字符 vb -html， .htm 


(4) 静态 反 编译 分 析 。 对 于 携带 解释 器 的 恶意 代码 可 以 采用 反 编 译 工具 查看 源 代 码 。 源 代 
码 在 编译 时 ， 代 码 会 被 编译 器 优化 ， 组 成 部 分 被 重 写 ， 使 得 程序 更 适合 解释 和 执行 ， 上 述 面向 
计算 机 优化 的 特性 ， 使 得 编译 的 代码 不 适合 逆向 编译 。 因 此 ， 逆 向 编译 是 将 对 机 器 优化 的 代码 
重新 转化 成 源 代 码 ， 这 使 得 程序 结构 和 流程 分 离开 来 ， 同 时 变量 的 名 字 由 机 器 自动 生成 ， 这 使 
得 逆向 编译 的 代码 有 着 较 差 的 可 读 性 。 表 14-2 列 出 了 一 些 反 编 译 工具 , 它们 能 够 生成 被 编译 程 
序 的 C 或 者 Java 语言 的 源 代码 。 


表 14-2 反 编 译 工具 


工 具 概 述 

在 Windows、 Linux、BSD、SunOS 
Reverse Engineering Compiler Oe SE SAR: 
(REC) by Giampiero Caprino Linux， 68k、PowerPC 和 MIPS 等 多 种 体 
Windows 协 结构 的 处 理 器 的 代码 逆向 编译 

成 C 代码 
Decc by Cristina Cifuentes 将 Windows 面向 x86 体 协 结构 写 

了 Windows 的 exe 可 执行 文件 的 程序 逆向 编译 成 C 代码 


用 Java 写 的 ， 这 个 工具 可 以 在 
JReversePro 任何 有 Java 虚拟 机 的 系统 上 运 洗 划 二 于 抽风 这 同 靖 条 R 9 和 
行 源 代 码 
HomeBrew Decompiler 逆向 编译 Java 字 节 代码 
(5) 静态 反 汇编 分 析 。 有 线性 遍历 和 递归 遍历 两 种 方法 。GNU 程序 objdump 和 一 些 链接 
优化 工具 使 用 线性 遍历 算法 从 输入 程序 的 入 口 点 开始 反 汇编 ， 简 单 地 遍历 程序 的 整个 代码 区 ， 
反 汇 编 它 所 遇 到 的 每 一 条 指令 。 虽 然 方法 简单 , 但 存在 不 能 够 处 理 嵌 入 指令 流 中 的 数据 的 问题 ， 
如 跳 转 表 。 递 归 遍 历 算法 试图 用 反 汇 编 出 来 的 控制 流 指令 来 指导 反 汇 编 过 程 ， 以 此 解决 上 面 线 
性 遍历 所 存在 的 问题 。 直 观 地 说 ， 无 论 何 时 反 汇 编 器 遇 到 一 个 分 支 或 者 CALL 指令 ， 反 汇编 都 
从 那 条 指令 的 可 能 的 后 续 指令 继续 执行 。 很 多 的 二 进 制 传输 和 优化 系统 采用 这 种 方法 。 其 缺点 
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是 很 难 正确 判定 间接 控制 转移 的 可 能 目标 。 恶意 代码 被 反 汇 编 后 ， 就 可 用 控制 流 分析 来 构造 它 
的 流程 图 ， 该 图 又 可 以 被 许多 的 数据 流 分 析 工 具 所 使 用 。 由 于 控制 流程 图 是 大 多 数 静 态 分 析 的 
基础 ， 所 以 不 正确 的 流程 图 反 过 来 会 使 整个 静态 分 析 过 程 得 到 错误 的 结果 。 


2. 动态 分 析 方 法 


恶意 代码 的 动态 分 析 主要 包括 以 下 方法 : 

(1) 文件 监测 。 恶 意 代码 在 传播 和 破坏 的 过 程 中 需要 依赖 读 写 文件 系统 ， 但 存在 极 少数 恶 
意 代 码 只 是 单纯 依赖 内 存 却 没有 与 文件 系统 进行 交互 。 恶 意 代码 执行 后 ， 在 目标 主机 上 可 能 记 
写 各 文件 ， 修 改 程序 ， 添 加 文件 ， 甚 至 把 代码 嵌入 其 他 文件 ， 因 此 对 文件 系统 必须 进行 监测 。 
FileMon 是 常用 的 文件 监测 程序 ， 能 够 记录 与 文件 相关 的 动作 ， 例 如 打开 、 读 取 、 写 入 、 关 闭 、 
删除 和 存储 时 间 戳 等 。 另 外 还 有 文件 完整 性 监测 工具 ， 如 Trip wire、AIDE 等 。 

(2) 进程 监测 。 恶 意 代 码 要 入 侵 甚 至 传播 ， 必 须 有 新 的 进程 生成 或 盗用 系统 进程 的 合法 权 
限 ， 主 机 上 所 有 被 植 入 进程 的 细节 都 能 为 分 析 恶 意 代码 提供 重要 参考 信息 。 常 用 的 进程 监测 工 
具 是 Process Explorer， 它 将 机 器 上 的 每 一 个 执行 中 的 程序 显示 出 来 ， 将 每 一 个 进程 的 工作 详细 
展示 出 来 。 虽 然 Windows 系统 自己 内 嵌 了 一 个 进程 展示 工具 , 但 是 只 显示 了 进程 的 名 字 和 CPU 
占用 率 , 这 不 足以 用 来 了 解 进程 的 详细 活动 情况 。 而 Process Explorer 比 任何 的 内 嵌 工 具 更 有 用 ， 
它 可 以 看 见 文件 、 注 册 表 键 值 和 进程 装载 的 全 部 动态 链接 库 的 情况 , 并 且 对 每 一 个 运行 的 进程 ， 
该 工具 还 显示 了 进程 的 属 主 、 独 立 细致 特权 、 优 先 级 和 环境 变量 。 

(3) 网 络 活动 监测 。 恶 意 代码 经 历 了 从 早期 的 单一 传染 形式 到 依赖 网 络 传染 的 多 种 传染 方式 
的 变化 ,因此 分 析 恶 意 代码 还 要 监测 恶意 代码 的 网 络 行为 。 使 用 网 络 嗅 探 器 检测 恶意 代码 传播 的 内 
容 ， 当 恶意 代码 在 网 络 上 发 送 包 时 ， 嗅 探 器 就 会 将 它们 捕获 。 表 14-3 列 出 了 一 些 网 络 监测 工具 。 


表 14-3 网 络 监测 工具 
工具 概 述 


TCPView 查看 端口 和 线程 
Windows 


Fport 查看 本 机 开放 端口 ， 以 及 端口 和 进程 对 应 关系 
Sb Linux， | 开源 的 扫描 工具 ， 用 于 系统 管理 员 查 看 一 个 大 型 的 网 络 有 哪些 主机 ， 
Windows | 以 及 其 上 运行 何 种 服务 ， 支 持 多 种 协议 的 扫描 
Nessus 是 一 款 经 典 的 安全 评估 软件 ， 功 能 强大 且 更 新 快 ， 采 用 C-S 模 
Windows “| 式 ， 服 务 器 端 负责 进行 安全 检查 ， 客 户 端 用 来 配置 管理 服务 器 端 

(4) 注册 表 监测 。Windows 操作 系统 的 注册 表 是 个 包含 了 操作 系统 和 大 多 数 应 用 程序 的 配 
置 的 层次 数据 库 ， 恶 意 代码 运行 时 一 般 要 改变 Windows 操作 系统 的 配置 来 改变 Windows 操作 
系统 的 行为 ， 实 现 恶意 代码 自身 的 目的 。 常 用 的 监测 软件 是 Regmon， 它 能 够 实时 显示 读 写 注 
册 表 项 的 全 部 动作 。 

(5) 动态 反 汇编 分 析 。 动态 反 汇编 指 在 恶意 代码 的 执行 过 程 中 对 其 进行 监测 和 分 析 。 其 基本 


Nessus 
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思想 是 将 恶意 代码 运行 的 控制 权 交 给 动态 调试 工具 。 该 监测 过 程 从 代码 的 入 口 点 处 开始 ， 控 制 权 
在 程序 代码 与 调试 工具 之 间 来 回 传递 , 直到 程序 执行 完 为 止 。 这 种 技术 能 得 到 正确 的 反 汇 编 代 码 ， 
但 只 能 对 程序 中 那些 实际 执行 的 部 分 有 效 。 目 前 主要 的 动态 反 汇编 分 析 方 法 有 以 下 两 种 : 
。 同 内 存 调试 。 这 种 方法 使 调试 工具 与 被 分 析 恶 意 代码 程序 加 载 到 相同 的 地 址 空间 里 。 
该 方法 的 优点 是 实现 代价 相对 较 低 ， 控 制 权 转交 到 调试 工具 或 者 从 调试 工具 转 回 恶 意 
代码 程序 的 实现 相对 来 说 比较 简单 ;缺点 是 需要 改变 被 分 析 程序 的 地 址 。 
。 ”仿真 调试 ， 即 虚拟 调试 。 这 种 方法 是 让 调试 工具 与 分 析 的 恶意 代码 程序 处 于 不 同 的 地 
址 空间 ， 可 绕 过 很 多 传统 动态 反 跟踪 类 技术 。 这 种 方法 的 优点 是 不 用 修改 目标 程序 中 
的 地 址 ， 但 在 进程 间 控 制 权 的 转移 上 要 付出 较 高 的 代价 。 
表 14-4 列 出 了 Windows 平台 常用 的 调试 工具 。 


表 14-4 Windows 平台 常用 的 调试 工具 


免费 调试 器 ， 图 形 界面 ， 功 能 强大 


一 个 主要 的 调试 器 和 代码 分 析 工 具 ， 简 化 版 本 可 以 免费 得 到 
SoftICE 商业 软件 ， 提 供 优秀 的 调试 功能 和 GUI 界面。 支持 源 代码 和 二 进 制 调试 


14.1.6 ”恶意 代码 防范 策略 


恶意 代码 防御 成 为 用 户 、 网 管 的 日 常安 全 工作 。 要 做 好 恶意 代码 的 防范 ， 一 方面 组 织 管理 
上 必须 加 强 恶 意 代码 的 安全 防范 意识 。 因 为 ， 恶 意 代码 具有 隐蔽 性 、 潜 伏 性 和 传染 性 ， 用 户 在 
使 用 计算 机 过 程 中 可 能 不 知 不 觉 地 将 恶意 代码 引入 所 使 用 的 计算 机 中 ， 所 以 防范 恶意 代码 应 从 
安全 意识 上 着 手 ， 明 确 安 全 责任 、 义 务 和 注意 事项 。 另 一 方面 ， 通 过 技术 手段 来 实现 恶意 代码 


防御 。 防 范 恶意 代码 的 总 体 框 架 如 图 14-4 所 示 。 
恶意 代码 防范 框架 
I 
用 户 恶意 代码 安全 管理 | | 恶意 代码 防御 技术 
| 安全 意识 [安全 管理 组 织 ] 恶意 代码 监测 预警 《安全 通告 、 
甘 威 肋 报警 、 疫 情 发 布 等 ) 
安全 操作 安全 管理 制度 
A 恶意 代码 预防 安装 杀毒 软件 、 安 
全 加 固 、 系 统 免 疫 、 访 问 控制 ) 
安全 管理 岗位 


检测 恶意 代码 (漏洞 扫描 、 注 册 
表 查 找 ) 


恶意 代码 应 急 响应 
(恢复 、 备 份 、 漏 洞 修补 ) 


14-4 恶意 代码 防范 框架 结构 图 
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14.2 ”计算 机 病毒 分 析 与 防护 


计算 机 病毒 是 恶意 代码 的 一 种 类 型 ， 本 节 阐 述 了 计算 机 病毒 的 概念 和 特性 ， 分 析 计 算 机 病 
毒 的 组 成 和 运行 机 制 ， 给 出 计算 机 病毒 的 常见 类 型 和 技术 ， 讲 述 计算 机 病毒 的 防范 策略 及 相关 
防护 方案 。 


14.2.1 计算 机 病毒 概念 与 特性 


计算 机 病毒 的 名 称 由 来 借用 了 生物 学 上 的 病毒 概念 ， 它 是 一 组 具有 自我 复制 、 传 播 能 力 的 
程序 代码 。 它 常 依附 在 计算 机 的 文件 中 ， 如 可 执行 文件 或 Word 文档 等 。 高 级 的 计算 机 病毒 具 
有 变种 和 进化 能 力 ， 可 以 对 付 反 病毒 程序 。 计 算 机 病毒 编制 者 将 病毒 插入 正常 程序 或 文档 中 ， 
以 达到 破坏 计算 机 功能 、 毁 坏 数据 ， 从 而 影响 计算 机 使 用 的 目的 。 计 算 机 病毒 传染 和 发 作 表 现 
的 症状 各 不 相同 ， 这 取决 于 计算 机 病毒 程序 设计 人 员 和 感染 的 对 象 ， 其 表现 的 主要 症状 如 下 
计算 机 屏幕 显示 异常 、 机 器 不 能 引导 启动 、 磁 盘存 储 容量 异常 减少 、 磁 盘 操 作 异 常 的 读 写 、 出 
现 异 常 的 声音 、 执 行程 序 文 件 无 法 执行 、 文 件 长 度 和 日 期 发 生变 化 、 系 统 死机 频繁 、 系 统 不 承 
认 硬 盘 、 中 断 向 量 表 发 生 异 常 变化 、 内 存 可 用 空间 异常 变化 或 减少 、 系 统 运行 速度 性 能 下 降 、 
系统 配置 文件 改变 、 系 统 参数 改变 。 据 统计 ， 计 算 机 病毒 的 数量 已 达到 数 万 ， 但 所 有 计算 机 病 
毒 都 具有 以 下 四 个 基本 特点 

(1) 隐蔽 性 。 计 算 机 病毒 附加 在 正常 软件 或 文档 中 ， 例 如 可 执行 程序 、 电 子 邮件 、Word 
文档 等 ， 一 旦 用 户 未 察觉 ， 病 毒 就 触发 执行 ， 潜 入 到 受害 用 户 的 计算 机 中 ， 如 表 14-5 所 示 。 目 
前 , 计算 机 病毒 常 利用 电子 邮件 的 附件 作为 隐蔽 载体 , 许多 病毒 通过 邮件 进行 传播 例如 “I Love 
You” 病 毒 和 “求职 信 ” 病 毒 。 病 毒 的 隐蔽 性 使 得 受害 用 户 在 不 知 不 觉 中 感染 病毒 ， 对 受害 计 
算 机 造成 系列 危害 操作 。 正 因 如 此 ， 计 算 机 病毒 才 扩散 传播 。 


表 14-5 ”病毒 载体 及 其 对 应 案例 


病毒 隐蔽 载体 病毒 案例 
Word 文档 Melissa 

照片 库 尔 尼 科 娃 
电子 邮件 “求职 信 ” 病 毒 
网 页 NIMDA 病毒 


(2) 传染 性 。 计 算 机 病毒 的 传染 性 是 指 计算 机 病毒 可 以 进行 自我 复制 ， 并 把 复制 的 病毒 附 
加 到 无 病毒 的 程序 中 ， 或 者 去 蔡 换 磁 盘 引导 区 的 记录 ， 使 得 附加 了 病毒 的 程序 或 者 磁盘 变 成 了 
新 的 病毒 源 ， 又 能 进行 病毒 复制 ， 重 复原 先 的 传染 过 程 。 计 算 机 病毒 与 其 他 程序 最 本 质 的 区 别 
在 于 计算 机 病毒 能 传染 ， 而 其 他 的 程序 则 不 能 。 没 有 传染 性 的 程序 就 不 是 计算 机 病毒 。 

(3) 潜伏 性 。 计算机 病毒 感染 正常 的 计算 机 之 后 ， 一 般 不 会 立即 发 作 ， 而 是 等 到 触发 条 件 
满足 时 ， 才 执行 病毒 的 恶意 功能 ， 从 而 产生 破坏 作用 。 计 算 机 病毒 常见 的 触发 条 件 是 特定 日 期 。 
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例如 CIH 计算 机 病毒 的 发 作 时 间 是 4 月 26 日 。 

(4) 破坏 性 。 计 算 机 病毒 对 系统 的 危害 性 程度 ， 取 决 于 病毒 设计 者 的 设计 意图 。 有 的 仅仅 
是 恶作剧 ， 有 的 破坏 系统 数据 。 简 而 言 之 ， 病 毒 的 破坏 后 果 是 不 可 知 的 。 由 于 计算 机 病毒 是 恶 
意 的 一 段 程序 , 故 凡是 由 常规 程序 操作 使 用 的 计算 机 资源 , 计算 机 病毒 均 有 可 能 对 其 进行 破坏 。 
据 统计 ， 病 毒 发 作 后 ， 造 成 的 破坏 主要 有 数据 部 分 丢失 、 系 统 无 法 使 用 、 浏 览 器 配置 被 修改 、 
网 络 无 法 使 用 、 使 用 受 限 、 受 到 远程 控制 、 数 据 全 部 丢失 等 。 据 统计 分 析 ， 浏 览 器 配置 被 修改 、 
数据 丢失 、 网 络 无 法 使 用 最 为 常见 ， 如 图 14-5 所 示 。 


时 数据 部 分 丢失 

日 系统 无 法 使 用 
浏览 器 配置 被 修改 
口 网络 无 法 使 用 

日 使 用 受 限 

日 受到 远程 控制 

日 不 确定 

曙 数据 全 部 丢失 


图 14-5 ”病毒 造成 的 破坏 情况 


14.2.2 计算 机 病毒 组 成 与 运行 机 制 


计算 机 病毒 由 三 部 分 组 成 : 复制 传染 部 件 (replicator) 、 隐 藏 部 件 (concealer) 、 破 坏 部 
件 (bomb) 。 复 制 传染 部 件 的 功能 是 控制 病毒 向 其 他 文件 的 传染 ， 隐藏 部 件 的 功能 是 防止 病毒 
被 检测 到 ;破坏 部 件 则 用 在 当 病 毒 符合 激活 条 件 后 ， 执 行 破坏 操作 。 计 算 机 病毒 将 上 述 三 个 部 
分 综合 在 一 起 ， 然 后 病毒 实现 者 用 当前 反 病 毒 软件 不 能 检测 到 的 病毒 感染 系统 ， 此 后 病毒 就 逐 
渐 开 始 传播 。 计 算 机 病毒 的 生命 周期 主要 有 两 个 阶段 : 
。 ”第 一 阶段 ， 计 算 机 病毒 的 复制 传播 阶段 。 这 一 阶段 有 可 能 持续 一 个 星期 到 几 年 。 计 算 
机 病毒 在 这 个 阶段 尽 可 能 地 隐蔽 其 行为 ， 不 干扰 正常 系统 的 功能 。 计 算 机 病毒 主动 搜 
寻 新 的 主机 进行 感染 ， 如 将 病毒 附 在 其 他 的 软件 程序 中 ， 或 者 渗透 操作 系统 。 同 时 ， 
可 执行 程序 中 的 计算 机 病毒 获取 程序 控制 权 。 在 这 一 阶段 , 发 现 计算 机 病毒 特别 困难 ， 
这 主要 是 因为 计算 机 病毒 只 感染 少量 的 文件 ， 难 以 引起 用 户 警觉 。 
。 第 二 阶段 ， 计 算 机 病毒 的 激活 阶段 。 计 算 机 病毒 在 该 阶段 开始 逐渐 或 突然 破坏 系统 。 
计算 机 病毒 的 主要 工作 是 根据 数学 公式 判断 激活 条 件 是 否 满足 ， 用 作 计 算 机 病毒 的 激 
活 条 件 常 有 日 期 、 时 间 、 感 染 文件 数 或 其 他 。 


14.2.3 ”计算 机 病毒 常见 类 型 与 技术 


1. 引导 型 病毒 
引导 型 病毒 通过 感染 计算 机 系统 的 引导 区 而 控制 系统 , 病毒 将 真实 的 引导 区 内 容 修 改 或 蔡 
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换 ， 当 病毒 程序 执行 后 ， 才 启动 操作 系统 。 因 此 ， 感 染 引导 型 病毒 的 计算 机 系统 看 似 正常 运转 ， 
而 实际 上 病毒 已 在 系统 中 隐藏 ， 等 待 时 机 传染 和 发 作 。 引 导 型 病毒 通常 都 是 内 存 驻 留 的 ， 典 型 
的 引导 型 病毒 如 磁盘 杀手 病毒 、AntiExe 病毒 等 。 


2. 宏 病 毒 (Macro Viruses) 


宏 是 1995 年 出 现 的 应 用 程序 编程 语言 ， 它 使 得 文档 处 理 中 繁复 的 敲 键 操作 自动 化 。 所 谓 
宏 病 毒 就 是 指 利用 宏 语 言 来 实现 的 计算 机 病毒 。 宏 病毒 的 出 现 改 变 了 病毒 的 载体 模式 ， 以 前 病 
毒 的 载体 主要 是 可 执行 文件 ， 而 现在 文档 或 数据 也 可 作为 宏 病毒 的 载体 。 微 软 规定 宏 代 码 保存 
在 文档 或 数据 文件 的 内 部 ， 这 样 一 来 就 给 宏 病 毒 传播 提供 了 方便 。 同 时 ， 宏 病毒 的 出 现 也 实现 
了 病毒 的 跨 平台 传播 ， 它 能 够 感染 任何 运行 Office 的 计算 机 。 例 如 ，OfEice 病毒 是 第 一 种 既 能 
感染 运行 Windows 98 的 IBM PC 又 能 感染 运行 Macintosh 的 机 器 的 病毒 。 根 据 统 计 ， 宏 病毒 已 
经 出 现在 Word、Excel、Access、PowerPoint、Project、Lotus、AutoCAD 和 Corel Draw 当中 。 
宏 病 毒 的 触发 用 户 打开 一 个 被 感染 的 文件 并 让 宏 程 序 执行 ， 宏 病毒 将 自身 复制 到 全 局 模板 ， 然 
后 通过 全 局 模板 把 宏 病毒 传染 到 新 打开 的 文件 ， 如 图 14-6 所 示 。 


打开 感染 加 载 宏 宏 病 毒 将 自己 宏 病 毒 感 
的 文档 到 内 存 复制 到 全 局 宏 染 新 文档 


14-6 ” 宏 病 毒 感染 示意 图 


Word 宏 病 毒 是 宏 病毒 的 典型 代表 ， 其 他 的 宏 病 毒 传染 过 程 与 它 类 似 。 下 面 以 Word 宏 病毒 
为 例 ， 分 析 宏 病毒 的 传染 过 程 。 微 软 为 了 使 Word 更 易 用 ， 在 Word 中 集成 了 许多 模板 ， 如 典雅 
型 传真 、 典 雅 型 报告 等 。 这 些 模板 不 仅 包含 了 相应 类 型 文档 的 一 般 格式 ， 而 且 还 允许 用 户 在 模 
板 内 添加 宏 ， 使 得 用 户 在 制作 自己 的 特定 格式 文件 时 ， 减 少 重复 劳动 。 在 所 有 这 些 模板 中 ， 最 
常用 的 就 是 Normal.dot 模板 ， 它 是 启动 Word 时 载 入 的 缺 省 模板 。 任 何 一 个 Word 文件 ， 其 背 
后 都 有 相应 的 模板 ， 当 打开 或 创建 Word 文档 时 ， 系 统 都 会 自动 装 入 Normal.dot 模板 并 执行 其 
中 的 宏 。Word 处 理 文档 时 ， 需 要 进行 各 种 不 同 的 操作 ， 如 打开 文件 、 关 闭 文件 、 读 取 数 据 资料 
以 及 存储 和 打印 等 。 每 一 种 动作 其 实 都 对 应 着 特定 的 宏 命令 ， 如 存 文件 与 File Save 相对 应 、 
改名 存 文件 对 应 着 File Save AS 等 。 这 些 宏 命令 集合 在 一 起 构成 了 通用 宏 ， 通 用 宏 保 存在 模板 
文件 中 ， 以 使 得 Word 启动 后 可 以 有 效 地 工作 。Word 打开 文件 时 ， 它 首先 要 检查 文件 内 包含 的 
宏 是 否 有 自动 执行 的 宏 (AutoOpen 宏 ) 存在 ， 假 如 有 这 样 的 宏 ，Word 就 启动 它 。 通 常 ，Word 
宏 病毒 至 少 会 包含 一 个 以 上 的 自动 宏 ， 当 Word 运行 这 类 自动 宏 时 ， 实 际 上 就 是 在 运行 病毒 代 
码 。 宏 病毒 的 内 部 都 具有 把 带 病毒 的 宏 复制 到 通用 宏 的 代码 段 ， 也 就 是 说 当 病毒 代码 被 执行 过 
后 ， 它 就 会 将 自身 复制 到 通用 宏 集 合 内 。 当 Word 系统 退出 时 ， 它 会 自动 地 把 所 有 通用 宏和 传 
染 进来 的 病毒 宏一 起 保存 到 模板 文件 中 ， 通 常 是 Normal.dot 模板 。 这 样 ， 一 旦 Word 系统 遭受 
感染 , 则 以 后 每 当 系统 进行 初始 化 ， 系 统 都 会 随 着 Normal.dot 的 装 入 而 成 为 带 毒 的 Word 系统 ， 
继而 在 打开 和 创建 任何 文档 时 感染 该 文档 。 
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3. 多 态 病毒 (Polymorphic Viruses) 


多 态 病毒 每 次 感染 新 的 对 象 后 ， 通 过 更 换 加 密 算法 ， 改 变 其 存在 形式 。 一 些 多 态 病毒 具有 
超过 二 十 亿 种 呈现 形式 ， 这 就 意味 着 反 病毒 软件 常常 难以 检测 到 它 ， 一 般 需 要 采用 局 发 式 分 析 
方法 来 发 现 。 多 态 病毒 有 三 个 主要 组 成 部 分 : 杂乱 的 病毒 体 、 解 密 例 程 〈decryption routine) 、 
变化 引擎 mutation engine)。 在 一 个 多 态 病毒 中 ， 变 化 引擎 和 病毒 体 都 被 加 密 。 一 旦 用 户 执 
行 被 多 态 病毒 感染 过 的 程序 ， 则 解密 例 程 首 先 获取 计算 机 的 控制 权 ， 然 后 将 病毒 体 和 变化 引擎 
进行 解密 。 接 下 来 ， 解 密 例 程 把 控制 权 转 让 给 病毒 ， 重 新 开始 感染 新 的 程序 。 此 时 ， 病 毒 进行 
自我 复制 以 及 变化 引擎 随机 访问 内 存 (RAM) 。 病 毒 调用 变化 引擎 ， 随 机 产生 能 够 解 开 新 病毒 
的 解密 例 程 。 病 毒 加 密 产生 新 的 病毒 体 和 变化 引擎 ， 病 毒 将 解密 例 程 连同 新 加 密 的 病毒 和 变化 
引擎 一 起 放 到 程序 中 。 这 样 一 来 ， 不 仅 病毒 体 被 加 密 过 ， 而 且 病 毒 的 解密 例 程 也 随 着 感染 不 同 
而 变化 。 因 此 ， 多 态 病毒 没有 固定 的 特征 、 没 有 固定 的 加 密 例 程 ， 从 而 就 能 逃避 基于 静态 特征 
的 病毒 扫描 器 的 检测 。 


4. 隐蔽 病毒 〈Stealth Viruses) 


隐蔽 病毒 试图 将 自身 的 存在 形式 进行 隐藏 ， 使 得 操作 系统 和 反 病 毒 软件 不 能 发 现 。 隐 项 病 
毒 使 用 的 技术 有 许多 ， 主 要 包括 : 

。 ”隐藏 文件 的 日 期 、 时 间 的 变化 ; 

。 ”隐藏 文件 大 小 的 变化 ; 

。 ”病毒 加 密 。 


14.2.4 ”计算 机 病毒 防范 策略 与 技术 


计算 机 病毒 种 类 繁多 ,千奇百怪 ,新 的 病毒 还 在 不 断 产 生 ， 因 此 计算 机 病毒 防范 是 一 个 动 
态 的 过 程 ， 应 通过 多 种 安全 防护 策略 及 技术 才能 有 效 地 控制 计算 机 病毒 的 破坏 和 传播 。 目 前 
计算 机 病毒 防范 策略 和 技术 主要 如 下 。 


1. 查找 计算 机 病毒 源 


对 计算 机 文件 及 磁盘 引导 区 进行 计算 机 病毒 检测 ， 以 发 现 异 常情 况 ， 确 证 计算 机 病毒 的 存 
在 ， 主 要 方法 如 下 : 

。 ”比较 法 。 比 较 法 是 用 原始 备份 与 被 检测 的 引导 扇 区 或 被 检测 的 文件 进行 比较 ， 检 查 文 
件 及 系统 区 域 参数 是 否 出 现 完整 性 变化 。 

。 ”搜索 法 。 搜 索 法 是 用 每 一 种 病毒 体 含有 的 特定 字 节 串 对 被 检测 的 对 象 进行 扫描 。 如 果 
在 被 检测 对 象 内 部 发 现 了 某 一 种 特定 字 节 串 ， 就 表明 发 现 了 该 字 节 串 所 代表 的 病毒 。 

。 ”特征 字 识 别 法 。 特 征 字 识别 法 是 基于 特征 串 扫 描 法 发 展 起 来 的 一 种 新 方法 。 特 征 字 识 
别 法 只 须 从 病毒 体内 抽取 很 少 的 几 个 关键 特征 字 ， 组 成 特征 字库 。 由 于 需要 处 理 的 字 
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节 很 少 ， 又 不 必 进 行 串 匹配 ， 因 此 大 大 加 快 了 识别 速度 ， 当 被 处 理 的 程序 很 大 时 表现 
更 突出 。 

。 分析 法 。 一 般 使 用 分 析 法 的 人 不 是 普通 用 户 ， 而 是 反 病 毒 技 术 人 员 。 他 们 通过 详细 分 
析 病 毒 代码 ， 制 定 相应 的 反 病 毒 措施 。 使 用 分 析 法 的 目的 是 确认 被 观察 的 磁盘 引导 区 
和 程序 中 是 否 含有 病毒 ， 辨 别 病毒 的 类 型 、 种 类 、 结 构 ， 提 取 病 毒 的 特征 字 节 串 或 特 
征 字 ， 用 于 增添 到 病毒 代码 库 供 病毒 扫描 和 识别 程序 用 。 


2. 阻 断 计 算 机 病毒 传播 途径 


由 于 计算 机 病毒 的 危害 性 是 不 可 预见 的 ， 因 此 切断 计算 机 病毒 的 传播 途径 是 关键 防护 措 
施 ， 具 体 方法 如 下 : 

。 ”用 户 具有 计算 机 病毒 防范 安全 意识 和 安全 操作 习惯 。 用 户 不 要 轻易 运行 未 知 可 执行 软 
件 ， 特 别 是 不 要 轻易 打开 电子 邮件 的 附件 。 

。 ”消除 计算 机 病毒 载体 。 关 键 的 计算 机 ， 做 到 尽量 专机 专用 ;不 要 随便 使 用 来 历 不 明 的 
存储 介质 ， 如 磁盘 、USB; 禁用 不 需要 的 计算 机 服务 和 功能 ， 如 脚本 语言 、 光 盘 自 启 
动 等 。 

。 ”安全 区 域 隔离 。 重 要 生产 区 域 网 络 系统 与 办 公 网 络 进行 安全 分 区 ， 防 止 计算 机 病毒 扩 
散 传播 。 


3. 主动 查 杀 计算 机 病毒 
主动 查 杀 计 算 机 病毒 的 主要 方法 如 下 : 
。 定期 对 计算 机 系统 进行 病毒 检测 。 定 期 检查 主 引 导 区 、 引 导 扇 区 、 中 断 向 量 表 、 文 件 


属性 ( 字 节 长 度 、 文 件 生成 时 间 等 ) 、 模 板 文件 和 注册 表 等 。 特 别 是 对 如 下 注册 表 的 
键 值 做 经 常 性 检查 : 


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 


。 ”安装 防 计算 机 病毒 软件 ， 建 立 多 级 病毒 防护 体系 。 在 网 关 、 服 务 器 和 客户 机 器 端 都 要 
安装 合适 的 防 计算 机 病毒 软件 ， 同 时 ， 做 到 及 时 更 新 病毒 库 。 


4. 计算 机 病毒 应 急 响 应 和 灾 备 


由 于 计算 机 病毒 的 技术 不 断 变 化 以 及 人 为 因素 ， 目 前 计算 机 病毒 还 是 难以 根治 ， 因 此 ， 计 

算 机 病毒 防护 措施 应 做 到 即使 计算 机 系统 受到 病毒 破坏 后 ， 也 能 有 相应 的 安全 措施 应 对 ， 尽 可 
能 避免 计算 机 病毒 造成 的 损害 。 这 些 应 急 响应 技术 和 措施 主要 有 以 下 几 方 面 : 

。 ”备份 。 正 如 一 位 安全 专家 所 说 ， 备 份 是 应 对 计算 机 病毒 最 有 效 的 方法 。 对 计算 机 病毒 

容易 侵害 的 文件 、 数 据 和 系统 进行 备份 ， 如 对 主 引导 区 、 引 导 扇 区 、FAT 表 、 根 目录 
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表 等 系统 重要 数据 做 备份 。 特 别 是 核心 关键 计算 机 系统 ， 还 应 做 到 系统 级 备份 。 

。 ”数据 修复 技术 。 对 遭受 计算 机 病毒 破坏 的 磁盘 、 文 件 等 进行 修复 。 

。 ”网 络 过 滤 技 术 。 通 过 网 络 的 安全 配置 ， 将 遭受 计算 机 病毒 攻击 的 计算 机 或 网 段 进行 安 
全 隔离 。 

。 ”计算 机 病毒 应 急 响 应 预案 。 制 定 受 病毒 攻击 的 计算 机 及 网 络 方面 的 操作 规程 和 应 急 处 
置 方案 。 


14.2.5 “计算 机 病毒 防护 方案 


1. 基于 单机 计算 机 病毒 防护 


单机 病毒 防护 是 传统 防御 模式 ， 作 为 固守 网 络 终端 的 最 后 防线 。 单 机 防御 对 于 广大 家 庭 用 
户 、 小 型 网 络 用 户 来 说 ， 在 效果 、 管 理 、 实 用 价值 方面 都 是 有 意义 的 : 阻止 来 自 软盘 、 光 盘 、 
共享 文件 、 互 联网 的 病毒 入 侵 ， 进 行 重要 数据 备份 等 其 他 功能 ， 防 护 单 台 计 算 机 。 


2. 基于 网 络 计算 机 病毒 防护 


基于 网 络 病毒 防护 的 基本 方法 是 通过 在 网 管 中 心 建立 网 络 防 病毒 管理 平台 , 实现 病毒 集中 
监控 与 管理 ， 集 中 监测 整个 网 络 的 病毒 疫情 ， 提 供 网 络 整体 防 病毒 策略 配置 ， 在 网 管 所 涉及 的 
重要 部 位 设置 防 病毒 软件 或 设备 ， 在 所 有 病毒 能 够 进入 的 地 方 都 采取 相应 的 防范 措施 ， 防 止 病 
毒 侵袭 。 对 网 络 系统 的 服务 器 、 工 作 站 和 客户 机 ， 进 行 病毒 防范 的 统一 管理 ， 及 时 更 新 病毒 特 
征 库 和 杀 病 毒 软件 的 版 本 升级 。 基 于 网 络 病毒 防御 的 安装 部 署 模 式 如 图 14-7 所 示 。 


升级 网 站 


路 由 器 | 
~ 
反 病毒 控制 平台 防火 墙 
忆 ] 网络 反 病毒 集中 监控 
王国 1 pe Be ey By 
物理 定位 系统 交换 机 


Web 服 务 器 


4 = 病毒 人 
UN 各 和 IN 性 en 二 人 站 有 交 毒 保 保护 For Win NT server 
For For Notes 版 杀 For Win 9 Win2000 server 
最 条 沸 杀毒 下 Win NT 0 


Win2000 professional 


图 14-7 基于 网 络 病毒 防御 的 安装 部 署 模式 示意 图 


目前 ， 防 病毒 厂商 都 有 技术 支持 网 络 防 病毒 能 力 ， 能 够 实现 防 病毒 策略 配置 分 发 、 病 毒 集 
中 监控 、 灾 难 恢 复 等 管理 功能 。 
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3. 基于 网 络 分 级 病毒 防护 


大 型 网 络 是 由 若干 个 局 域 网 组 成 的 ， 各 个 局 域 网 地 理 区 域 分 散 。 在 防 病毒 方面 采取 的 防 
御 策略 是 ， 基 于 三 级 管理 模式 : 单机 终端 杀毒 -局 域 网 集中 监控 -广域网 总 部 管理 ， 如 图 14-8 
所 示 。 该 策略 的 实现 方法 是 ， 在 局 域 网 病毒 防御 的 基础 上 分 级 构建 ， 组 织 总 部 〈 常 称 信息 中 
心 或 网 络 中 心 ) 负责 病毒 报警 信息 汇总 ， 监 控 本 地 、 远 程 异 地 局 域 网 病毒 防御 情况 ， 统 计 分 
析 整 个 组 织 网 络 的 病毒 爆发 种 类 、 发 生 频 度 、 易 发 生源 等 信息 ， 以 便 制 定 和 实施 合适 的 防 病 
毒 配置 策略 。 


eeeoee 


灿 置 
网 络 杀毒 
For Server 


网络 杀 毒 
For Cillent 


图 14-8 局 域 网 病毒 防御 架构 示意 图 


4. 基于 邮件 网 关 病毒 防护 


政府 机 关 、 军 队 、 金 融 及 科研 院 校 等 机 构 办 公 自动 化 OA》 系统 中 的 邮件 服务 器 作为 内 
部 网 络 用 户 邮 件 的 集中 地 和 发 散 地 ， 也 成 为 病毒 邮件 、 垃 圾 邮件 进出 的 门户 ， 如 果 能 够 在 网 络 
入 口 处 将 邮件 病毒 、 邮 件 垃圾 截 杀 掉 ， 则 可 以 确保 内 部 网 络 用户 收 到 安全 无 病毒 的 邮件 。 邮 件 
网 关 防 毒 系统 放置 在 邮件 网 关 入 口 处 ,接收 来 自 外 部 的 邮件 ， 对 病毒 、 不 良 邮 件 (如 带 有 色情 、 
政治 反动 色彩 的 邮件 ) 等 进行 过 滤 ， 处 理 完毕 后 再 将 安全 邮件 转发 至 邮件 服务 器 ， 全 面 保护 内 
部 网 络 用 户 的 电子 邮件 安全 。 


S. 基于 网 关 防 护 


在 网 络 出 口 处 设置 有 效 的 病毒 过 滤 系 统 ， 防 火 墙 将 数据 提交 给 网 关 杀 毒 系统 进行 检查 ， 如 
有 病毒 入 侵 ， 网 关 防 毒 系统 将 通知 防火 墙 立刻 阻 断 进行 攻击 的 一。 这 种 同步 查 毒 的 方式 几乎 不 
影响 网 络 带宽 ， 同 时 能 够 过 滤 多 种 数据 库 和 邮件 中 的 病毒 。 利 用 防火 墙 实 时 分 离 数 据 包 ， 交 给 
网 关 专 用 病毒 处 理 器 处 理 ， 如 果 是 病毒 则 阻塞 其 传播 。 这 种 防 病毒 系统 能 大 量 减 少 病毒 传播 机 
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会 ， 让 用 户 放心 上 网 。 网 关 杀 毒 是 杀毒 软件 和 防火 墙 技术 的 完美 结合 ， 是 多 种 网 络 安全 产品 
同 工 作 的 全 新 方式 。 


14.3 ”特洛伊 木马 分 析 与 防护 


特洛伊 木马 是 恶意 代码 的 一 种 类 型 ， 本 节 首 先 阐述 特洛伊 木马 的 概念 和 特性 ， 然 后 分 析 特 
洛 伊 木马 的 运行 机 制 、 植 入 技术 、 隐 藏 技术 、 存 活 技术 ， 最 后 给 出 特洛伊 木马 的 常见 类 型 、 防 
范 技术 方案 。 


14.3.1 特洛伊 木马 概念 与 特性 


特洛伊 木马 〈Trojan Horse， 简 称 木马 ) ， 其 名 称 取 自古 希腊 神话 特洛伊 战争 的 特洛伊 木马 ， 
它 是 具有 伪装 能 力 、 隐 蔽 执行 非法 功能 的 恶意 程序 ， 而 受害 用 户 表 面 上 看 到 的 是 合法 功能 的 执行 。 
目前 特洛伊 木马 已 成 为 黑客 常用 的 攻击 方法 。 它 通过 伪装 成 合法 程序 或 文件 ， 植 入 系统 ， 对 网 络 系 
统 安全 构成 严重 威胁 。 同 计算 机 病毒 、 网 络 蠕虫 相 比较 ， 特 洛 伊 木马 不 具有 自我 传播 能 力 ， 而 是 通 
过 其 他 的 传播 机 制 来 实现 。 受 到 特洛伊 木马 侵害 的 计算 机 ， 攻 击 者 可 不 同 程度 地 远程 控制 受害 计算 
机 ， 例 如 访问 受害 计算 机 、 在 受害 计算 机 上 执行 命令 或 利用 受害 计算 机 进行 DDoS 攻击 。 


14.3.2 ”特洛伊 木马 分 类 


根据 特洛伊 木马 的 管理 方式 ， 可 以 将 特洛伊 木马 分 为 本 地 特洛伊 木马 和 网 络 特洛伊 木马 。 
本 地 特洛伊 木马 是 最 早期 的 一 类 木马 ， 其 特点 是 木马 只 运行 在 本 地 的 单 台 主机 ， 木 马 没有 远程 
通信 功能 ， 木 马 的 攻击 环境 是 多 用 户 的 UNIX 系统 ， 典 型 例子 就 是 盗用 口令 的 木马 。 网 络 特 洛 
伊 木 马 是 指 具有 网 络 通信 连接 及 服务 功能 的 一 类 木马 , 简称 网 络 木马 。 此 类 木马 由 两 部 分 组 成 ， 
即 远程 木马 控制 管理 和 木马 代理 。 其 中 远程 木马 控制 管理 主要 是 监测 木马 代理 的 活动 ， 远 程 配 
置 管理 代理 ， 收 集 木马 代理 窃取 的 信息 ; 而 木马 代理 则 是 植 入 目标 系统 中 ， 伺 机 获取 目标 系统 
的 信息 或 控制 目标 系统 的 运行 ， 类 似 网 络 管理 代理 。 目 前 ， 特 洛 伊 木马 一 般 泛 指 这 两 类 木马 
但 网 络 木马 是 主要 类 型 。 


14.3.3 ”特洛伊 木马 运行 机 制 


木马 受 攻击 者 的 意图 影响 ， 其 行为 表现 各 异 ， 但 基本 运行 机 制 相同 ， 整 个 木马 攻击 过 程 主 
要 分 为 五 个 部 分 : 外 寻找 攻击 目标 。 攻 击 者 通过 互联 网 或 其 他 方式 搜索 潜在 的 攻击 目标 。@ 收 
集 目标 系统 的 信息 。 获 取 目 标 系 统 的 信息 主要 包括 操作 系统 类 型 、 网 络 结构 、 应 用 软件 、 用 户 
习惯 等 。@ 将 木马 植 入 目标 系统 。 攻 击 者 根据 所 搜集 到 的 信息 ， 分 析 目 标 系统 的 脆弱 性 ， 制 定 
植 入 木马 策略 。 木 马 植 入 的 途径 有 很 多 ， 如 通过 网 页 点 击 、 执 行 电子 邮件 附件 等 。 @ 木 马 隐藏 。 
为 实现 攻击 意图 ， 木 马 设法 隐蔽 其 行为 ， 包 括 目标 系统 本 地 活动 隐藏 和 远程 通信 隐藏 。@@ 攻 击 
意图 实现 ， 即 激活 木马 ， 实 施 攻击 。 木 马 植 入 系统 后 ， 待 触发 条 件 满足 后 ， 就 进行 攻击 破坏 活 
动 ， 如 窃取 口令 、 远 程 访问 、 删 除 文件 等 。 木 马 的 攻击 机 制 如 图 14-9 所 示 。 
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搜寻 攻击 收集 目标 ] 
目标 系统 系统 信息 


等 待 


图 14-9 木马 的 运行 机 制 流程 图 


14.3.4 ”特洛伊 木马 植 和 技术 


特洛伊 木马 植 入 是 木马 攻击 目标 系统 最 关键 的 一 步 ， 是 后 续 攻 击 活动 的 基础 。 当 前 特洛伊 
木马 的 植 入 方法 可 以 分 为 两 大 类 ， 即 被 动 植 入 和 主动 植 入 。 被 动 植 入 是 指 通过 人 工 干预 方式 才 
能 将 木马 程序 安装 到 目标 系统 中 ， 植 入 过 程 必须 依赖 于 受害 用 户 的 手工 操作 ， 而 主动 植 入 则 是 
指 主动 攻击 方法 , 将 木马 程序 通过 程序 自动 安装 到 目标 系统 中 , 植 入 过 程 无 须 受 害 用 户 的 操作 。 
被 动 植 入 主要 通过 社会 工程 方法 将 木马 程序 伪装 成 合法 的 程序 ， 以 达到 降低 受害 用 户 警觉 性 、 
诱骗 用 户 的 目的 ， 常 用 的 方法 如 下 : 
。 ”文件 捆绑 法 。 将 木马 捆绑 到 一 些 常用 的 应 用 软件 包 中 ， 当 用 户 安装 该 软件 包 时 ， 木 马 
就 在 用 户 毫 无 察觉 的 情况 下 ， 被 植 入 系统 中 。 
。 ”邮件 附件 。 木 马 设计 者 将 木马 程序 伪装 成 邮件 附件 ， 然 后 发 送 给 目标 用 户 ， 若 用 户 执 
行 邮件 附件 就 将 木马 植 入 该 系统 中 。 
。 ”Web 网 页 。 木 马 程序 隐藏 在 html 文件 中 ， 当 受害 用 户 点 击 该 网 页 时 , 就 将 木马 植 入 目 
标 系统 中 。 
采用 被 动 植 入 的 网 络 木 马 的 典型 实例 就 是 通过 电子 邮件 附件 执行 来 实现 木马 植 入 ， 如 
My.DOOM 的 木马 程序 植 入 。 而 主动 植 入 则 是 研究 攻击 目标 系统 的 脆弱 性 ， 然 后 利用 其 漏洞 ， 
通过 程序 来 自动 完成 木马 的 植 入 。 典 型 的 方法 是 利用 目标 系统 的 程序 系统 漏洞 植 入 木马 , 如 “ 红 
色 代 码 ” 利 用 IIS Server 上 Indexing Service 的 缓冲 区 溢出 漏洞 完成 木马 植 入 。 


14.3.5 ”特洛伊 木马 隐藏 技术 


特洛伊 木马 的 设计 者 为 了 逃避 安全 检测 ， 就 要 设法 隐藏 木马 的 行为 或 痕迹 ， 其 主要 技术 目 
标 就 是 将 木马 的 本 地 活动 行为 、 木 马 的 远程 通信 过 程 进行 隐藏 。 
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1. 本 地 活动 行为 隐藏 技术 


现在 的 操作 系统 具有 支持 LKM (Loadable Kernel Modules) 的 功能 ， 通 过 LKM 可 增加 系 
统 功 能 ， 而 且 不 需要 重新 编译 内 核 ， 就 可 以 动态 地 加 载 ， 如 Linux、Solaris 和 FreeBSD 都 支持 
LKM。 木 马 设计 者 利用 操作 系统 的 LKM 功能 ， 通 过 蔡 换 或 调整 系统 调用 来 实现 木马 程序 的 隐 
藏 ， 常 见 的 技术 方法 如 下 : 
。 文件 隐藏 。 如 在 Linux 中 ， 通 过 改变 sys_getdents (”) 的 系统 调用 功能 可 实现 相应 的 
文件 、 路 径 隐 藏 。 
。 进程 隐藏 。 木 马 程序 事先 蔡 换 或 拦截 显示 进程 信息 的 系统 调用 ， 避 免 管理 员 通过 ps 
等 相关 进程 查看 命令 发 现 木马 进程 ， 从 而 实现 木马 的 本 地 隐藏 。 
。 ”通信 连接 隐藏 。 网 络 操作 系统 一 般 提供 本 地 通信 连接 信息 查看 命令 ， 如 netstat。 为 避 
免 网 络 管理 员 发 现 木马 的 通信 活动 ， 木 马 设 计 者 将 设法 蔡 换 或 拦截 与 通信 连接 信息 查 
看 相关 的 系统 调用 ， 使 得 管理 员 无 法 真正 获取 受害 主机 的 网 络 木 马 通信 连接 信息 。 


2. 远程 通信 过 程 隐藏 技术 


特洛伊 木马 除了 在 远程 目标 端 实现 隐藏 外 ， 还 必须 实现 远程 通信 过 程 的 隐藏 ， 包 括 通信 内 
容 和 通信 方式 的 隐藏 ， 只 有 这 样 才能 增强 特洛伊 木马 的 生存 能 力 。 木 马 用 到 的 远程 通信 隐藏 的 
关键 技术 方法 如 下 : 

。 ”通信 和 内容 加 密 技术 ， 这 是 传统 的 方法 ， 是 将 木马 通信 的 内 容 进 行 加 密 处 理 ， 使 得 网 络 
安全 管理 员 无 法 识别 通信 内 容 ， 从 而 增强 木马 的 通信 保密 性 。 

。 ”通信 端口 复 用 技术 ， 指 共享 复 用 系统 网 络 端 口 来 实现 远程 通信 ， 这 样 既 可 以 欺骗 防火 
墙 , 又 可 以 少 开 新 端口 。 端 口 复 用 是 在 保证 端口 默认 服务 正常 工作 的 条 件 下 进行 复 用 ， 
具有 很 强 的 隐蔽 性 。 

。 ”网 络 隐蔽 通道 , 指 利用 通信 协议 或 网 络 信息 交换 的 方法 来 构建 不 同 于 正常 的 通信 方式 。 特 
洛 伊 木马 的 设计 者 将 利用 这 些 隐蔽 通道 绕 过 网 络 安全 访问 控制 机 制 秘密 地 传输 信息 ,由 于 
网 络 通信 的 复杂 性 ， 特 洛 伊 木马 可 以 用 隐蔽 通道 技术 掩盖 通信 内 容 和 通信 状态 。 

表 14-6 列 出 了 几 种 特洛伊 木马 所 采用 的 隐藏 技术 。 


表 14-6 几 种 特洛伊 木马 隐藏 技术 案例 统计 


NT Rootkit 
Loki 
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14.3.6 ”特洛伊 木马 存活 技术 


特洛伊 木马 的 存活 能 力 取决 于 网 络 木马 逃避 安全 监测 的 能 力 ， 一 些 网 络 木马 侵入 目标 系统 
时 采用 反 监 测 技术 ， 甚 至 中 断 反 网 络 木马 程序 运行 。 例 如 ，“ 广 外 女生 ”是 一 个 国产 的 特洛伊 
木马 ， 可 以 让 “金山 毒霸 ”和 “天 网 防火 墙 ” 失效。 一 些 高 级 木马 常 具 有 端口 反 向 连接 功能 ， 
例如 “Boinet” “网络 神偷 ”“ 灰 鸽子 ”等 木马 。 端 口 反 向 连接 技术 是 指 由 木马 代理 在 目标 系统 
主动 连接 外 部 网 的 远程 木马 控制 端 以 逃避 防火 墙 的 限制 。 


14.3.7 ”特洛伊 木马 防范 技术 


在 特洛伊 木马 防御 方面 ， 由 于 网 络 木 马 具有 相当 高 的 复杂 性 和 行为 不 确定 性 ， 因 此 防范 木 
马 需要 将 监测 与 预警 、 通 信 阻 断 、 系 统 加 固 及 修复 、 应 急 管 理 等 多 种 技术 综合 集成 实现 。 下 面 
主要 说 明 近 几 年 的 特洛伊 木马 防范 技术 。 


1. 基于 查看 开放 端口 检测 特洛伊 木马 技术 


基本 原理 是 根据 特洛伊 木马 在 受害 计算 机 系统 上 留 下 的 网 络 通信 端口 号 痕迹 进行 判断 ， 如 
果 某 个 木马 的 端口 在 某 台 机 器 上 开放 ， 则 推断 该 机 器 受到 木马 的 侵害 。 例 如 冰河 使 用 的 监听 端 
口 是 7626，Back Orifice 2000 则 是 使 用 54320 等 。 于 是 ， 可 以 利用 查看 本 机 开放 端口 的 方法 来 
检查 自己 是 否 被 植 入 了 木马 。 查 看 开放 端口 的 技术 有 : 四 系统 自 带 的 netstat 命令 ; @ 用 端口 扫 
描 软 件 远程 检测 机 器 。 


2. 基于 重要 系统 文件 检测 特洛伊 木马 技术 


基本 原理 是 根据 特洛伊 木马 在 受害 计算 机 系统 上 对 重要 系统 文件 进行 修改 留 下 的 痕迹 进 
行 判断 ， 通 过 比 对 正常 的 系统 文件 变化 来 确认 木马 的 存在 。 这 些 重 要 文件 一 般 与 系统 的 自 启动 
相关 ,木马 通过 修改 这 些 文件 使 得 木马 能 够 自 启动 例如 ,在 Windows 系统 中 , Autostart Folder、 
常 被 木马 修改 。 以 检查 System.ini 文件 为 例 ， 在 [BOOT] 下 面 有 一 个 “shell= 文 件 名 ”。 正 确 的 
文件 名 应 该 是 “explorer.exe”， 如 果 不 是 “explorer.exe”， 而 是 “shell= explorerexe 程序 名 ”， 
那么 后 面 跟着 的 那个 程序 就 是 木马 程序 ， 就 说 明 计算 机 系统 已 经 被 安装 上 木马 。 


3. 基于 系统 注册 表 检 测 特洛伊 木马 技术 


Windows 类 型 的 木马 常 通过 修改 注册 表 的 键 值 来 控制 木马 的 自 启动 , 该 方法 的 基本 原理 是 
检查 计算 机 的 注册 表 键 值 异常 情况 以 及 对 比 已 有 木马 的 修改 注册 表 的 规律 ， 综 合 确 认 系 统 是 否 
受到 木马 侵害 。 如 图 14-10 所 示 ，Windows 木马 经 常 将 注册 表 修 改 成 以 下 信息 。 
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[HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"Info"="c:\directory\Trojan.exe" 

[HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce] 
"Info"="c:\directory\Trojan.exe" 

[HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
"Info"="c:\directory\Trojan.exe" 

[HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesonce] 
"Info="c:\directory\Trojan.exe" 

[HKEY_CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"Info"="c:\directory\Trojan.exe" 

[HKEY _ CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Runonce] 
"Info"="c:\directory\Trojan.exe" 


14-10 ”被 木马 修改 的 注册 表 信 息 


在 Windows 系统 中 ， 通 过 regedit 命令 打开 注册 表 编 辑 器 ， 再 点 击 至 “HKEY _ 
LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ”目录 下 ， 查 看 键 值 中 有 没 
有 异常 的 自动 启动 文件 ， 特 别 是 扩展 名 为 EXE 的 文件 。 例 如 ，“Acid Battery v1.0 木马 ”会 将 
注册 表 “HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ”下 的 
Explorer 键 值 改 为 Explorer=“C: \Windowsvexpiorerexe”， 而 且 “ 木 马 ”程序 与 真正 的 Explorer 
之 间 只 有 “i” 与 “1” 的 差别 。 


4. 检测 具有 隐藏 能 力 的 特洛伊 木马 技术 


Rootkit 是 典型 的 具有 隐藏 能 力 的 特洛伊 木马 。 目 前 ， 检 测 Rootkit 的 技术 有 三 类 ， 分 别 叙 
述 如 下 : 

第 一 类 是 针对 已 知 的 Rootkit 进行 检测 ， 这 种 方法 基于 Rootkit 的 运行 痕迹 特征 来 判断 计算 
机 系统 是 否 存在 木马 。 这 种 方式 主要 的 缺点 是 只 能 针对 特定 的 已 知 的 Rootkit， 而 对 未 知 的 
Rootkit 几乎 无 能 为 力 。 

第 二 类 是 基于 执行 路 径 的 分 析 检 测 方法 。 其 基本 原理 是 安装 Rootkit 的 系统 在 执行 一 些 操 
作 时 ， 由 于 要 完成 附加 的 Rootkit 的 功能 ， 如 隐藏 进程 、 文 件 等 ， 则 需要 执行 更 多 的 CPU 指令 ， 
通过 利用 x86 系列 的 CPU 提供 的 步 进 模式 〈stepping mode) ， 在 CPU 每 执行 一 条 指令 后 进行 
计数 ， 将 测量 到 的 结果 与 正常 的 干净 的 系统 测 得 的 数据 进行 比较 ， 然 后 根据 比较 的 差异 ， 判 断 
系统 是 否 可 能 已 被 安装 了 Rootkit。 这 种 方法 不 仅 限 于 已 知 的 Rootkit， 对 于 所 有 通过 修改 系统 
执行 路 径 来 达到 隐藏 和 执行 功能 目的 的 Rootkit 都 有 很 好 的 作用 。patchfinder 就 是 从 实用 的 角 
度 实现 了 EPA，patchfinder2 在 Win 2000 平台 上 实现 了 执行 路 径 分 析 技 术 ， 它 是 一 个 设计 复杂 
的 检测 工具 ， 可 以 用 来 检测 系统 中 的 库 和 内 核 是 否 被 侵害 。 利 用 patchfinder 工具 ， 可 以 发 现 许 
多 Rootkit， 例 如 Hacker Defender、APX、Vaniquish、He4Hook 等 。 

第 三 类 是 直接 读 取 内 核 数据 的 分 析 检 测 方法 ， 该 方法 针对 通过 修改 内 核 数据 结构 的 方法 来 
隐藏 自己 的 Rootkit， 其 基本 原理 是 直接 读 取 内 核 中 的 内 部 数据 以 判断 系统 当前 的 状态 。 比 如 ， 
针对 修改 系统 活动 进程 链表 来 隐藏 进程 的 Rootkit， 可 以 直接 读 取 KiWaitInListHead 和 
KiWaitOutListHead 链表 来 遍历 系统 内 核 线 程 链 表 ETHREAD, 从 而 获得 当前 系统 的 实际 进程 链 
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表 来 检测 隐藏 进程 。Klister 是 实现 该 方法 的 实例 ， 它 是 Windows 2000 平台 下 的 一 组 简单 的 工 
有 具 ， 用 来 读 取 内 核 的 数据 结构 ， 以 获得 关于 系统 状态 的 可 靠 的 信息 ， 诸 如 所 有 的 进程 。Klister 
包括 一 个 内 核 模块 和 一 些 用 户 态 的 程序 ， 这 些 用 户 态 程序 与 内 核 模块 通信 以 显示 内 核 的 数据 结 
构 。 最 有 趣 的 地 方 是 被 内 核 调 度 代码 使 用 的 线程 链表 ， 当 读 取 这 些 链表 时 ， 就 可 以 确定 得 到 的 
是 包括 了 系统 内 所 有 线程 的 链表 ， 包 括 被 隐藏 进程 的 线程 ， 因 此 可 以 建立 一 个 系统 内 所 有 进程 
的 列表 ， 从 而 检测 出 潜伏 的 Rootkit。 


5. 基于 网 络 检测 特洛伊 木马 技术 


在 网 络 中 安装 入 侵 检测 系统 ， 通 过 捕获 主机 的 网 络 通信 ， 检 查 通信 的 数据 包 是 否 具有 特 洛 
伊 木马 的 特征 ， 或 者 分 析 通 信 是 否 异 常 来 判断 主机 是 否 受到 木马 的 侵害 。 根 据 特洛伊 木马 的 植 
入 方法 ， 防 止 特洛伊 木马 植 入 主要 有 下 面 几 种 方法 : 

。 不 轻易 安装 未 经 过 安全 认可 的 软件 ， 特 别 是 来 自 公共 网 的 软件 。 

。 ”提供 完整 性 保护 机 制 ， 即 在 需要 保护 的 计算 机 上 安装 完整 性 机 制 ， 对 重要 的 文件 进行 

完整 性 检查 。 例 如 安装 一 种 起 完整 性 保护 作用 的 设备 驱动 程序 ， 这 些 程序 拦截 一 些 系 
统 服务 调用 ， 禁 止 任何 新 的 模块 的 载 入 ， 从 而 使 系统 免 于 Rootkit 的 危害 。 
。 ”利用 漏洞 扫描 软件 ， 检 查 系统 存在 的 漏洞 ， 然 后 针对 相应 的 漏洞 ， 安 装 补丁 软件 包 。 


6. 基于 网 络 阻 断 特洛伊 木马 技术 


特洛伊 木马 的 传播 和 运行 都 依赖 于 网 络 通 信 ， 基 于 网 络 阻 断 特洛伊 木马 的 技术 方法 的 原理 
是 利用 防火 墙 、 路 由 器 、 安 全 网 关 等 网 络 设备 ， 对 特洛伊 木马 的 通信 进行 阻 断 ， 从 而 使 得 特 洛 
伊 木马 的 功能 失效 或 限制 其 传播 。 


7. 清除 特洛伊 木马 技术 


清除 特洛伊 木马 的 技术 方法 有 两 种 : 手工 清除 方法 和 软件 清除 方法 。 其 工作 原理 是 删除 特 
洛 伊 木 马 在 受害 机 器 上 留 下 的 文件 ， 禁 止 特洛伊 木马 的 网 络 通信 ， 人 恢复 木马 修改 过 的 系统 文件 
或 注册 表 。 目 前 ， 市 场 上 有 专业 的 清除 特洛伊 木马 的 工具 。 


14.4 网络 蠕 虫 分 析 与 防护 


网 络 蠕虫 是 恶意 代码 的 一 种 类 型 ， 本 节 首 先 阔 述 了 网 络 蠕虫 的 概念 和 特性 ， 然 后 分 析 了 
网 络 蠕虫 的 组 成 、 运 行 机 制 和 常用 技术 ， 最 后 给 出 了 网 络 蠕虫 的 防范 技术 方案 。 下 面 分 别 进 
行 叙述 。 


14.4.1 网络 蠕虫 概念 与 特性 
网 络 蠕虫 是 一 种 具有 自我 复制 和 传播 能 力 、 可 独立 自动 运行 的 恶意 程序 。 它 综合 了 黑客 技 
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术 和 计算 机 病毒 技术 ， 通 过 利用 系统 中 存在 漏洞 的 节点 主机 ， 将 蠕虫 自身 从 一 个 节点 传播 到 另 
外 一 个 节点 。1988 年 著名 的 “小 莫 里 斯 ”蠕虫 事件 成 为 网 络 蠕虫 攻击 的 先例 ， 随 着 网 络 技术 应 
用 的 深入 ， 网 络 蠕虫 对 网 络 系统 安全 的 威胁 日 益 增加 。 在 网 络 环境 下 ， 多 模式 化 的 传播 途径 和 
复杂 的 应 用 环境 使 网 络 蠕虫 的 发 生 频率 增高 、 传 播 性 变 强 、 影 响 面 更 广 ， 造 成 的 损失 也 更 大 。 


14.4.2 ”网 络 蠕虫 组 成 与 运行 机 制 


网 络 蠕虫 由 四 个 功能 模块 构成 : 探测 模块 、 传 播 模块 、 蠕 虫 引 擎 模块 和 负载 模块 , 如 图 14-11 
所 示 。 


探测 (probe) 


传播 (transport) 


蠕虫 引擎 (worm engine) 


负载 (payload) 


图 14-11 网 络 蠕虫 组 成 模块 示意 图 


(1) 探测 模块 。 完 成 对 特定 主机 的 脆弱 性 检测 ， 决 定 采用 何 种 攻击 渗透 方式 。 该 模块 利用 
获得 的 安全 漏洞 建立 传播 途径 ， 该 模块 在 攻击 方法 上 是 开放 的 、 可 扩充 的 。 

(2) 传播 模块 。 该 模块 可 以 采用 各 种 形式 生成 各 种 形态 的 蠕虫 副本 ， 在 不 同 主机 间 完 成 里 
虫 副 本 传递 。 例如 “Nimda” 会 生成 多 种 文件 格式 和 名 称 的 蠕虫 副本 ; “Worm.KillMsBlast” 利 
用 系统 程序 (例如 tftp〉 来 完成 推进 模块 的 功能 等 。 

(3) 蠕虫 引擎 模块 。 该 模块 决定 采用 何 种 搜索 算法 对 本 地 或 者 目标 网 络 进行 信息 搜集 ， 内 
容 包括 本 机 系统 信息 、 用 户 信息 、 邮 件 列 表 、 对 本 机 的 信任 或 授权 的 主机 、 本 机 所 处 网 络 的 拓 
扑 结构 、 边 界 路 由 信息 等 。 这 些 信 息 可 以 单独 使 用 或 被 其 他 个 体 共享 。 

(4) 负载 模块 。 也 就 是 网 络 蠕虫 内 部 的 实现 伪 代 码 ， 如 图 14-12 所 示 。 


worm() 

{ 
worm engine(); 
probe(); 
transport (); 


worm engine() 
install and initialize the worm(); 
execute payload if any needs to be(); 


choose the next host to probe(); 
wait until desired time for the next probe(); 


14-12 ”网 络 蠕虫 内 部 的 实现 伪 代 码 
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网 络 蠕虫 的 运行 机 制 主要 分 为 三 个 阶段 ， 如 图 14-13 所 示 。 

第 一 阶段 ， 已 经 感染 蠕虫 的 主机 在 网 络 上 搜索 易 感 染 目标 主机 ， 这 些 易 感 机 器 具有 蠕虫 代 
码 执行 条 件 ， 例 如 易 感 染 机 器 有 蠕虫 可 利用 的 漏洞 。 其 中 ， 网 络 蠕虫 发 现 易 感染 目标 取决 于 所 
选择 的 传播 方法 ， 好 的 传播 方法 使 网 络 蠕虫 以 最 少 的 资源 找到 网 上 易 传染 的 主机 ， 进 而 能 在 短 
时 间 内 扩大 传播 区 域 。 

第 二 阶段 , 已 经 感染 蠕虫 的 主机 把 蠕虫 代码 传送 到 易 感 染 目 标 主 机 上 .传输 方式 有 多 种 形式 ， 
如 电子 邮件 、 共 享 文件 、 网 页 浏览 、 缓 冲 区 溢出 程序 、 远 程 命 令 拷贝 、 文 件 传 输 (他 或 tftp) 等 。 

第 三 阶段 ， 易 感染 目标 主机 执行 蠕虫 代码 ， 感 染 目标 主机 系统 。 目 标 主机 感染 后 ， 又 开始 
第 一 阶段 的 工作 ， 寻 找 下 一 个 易 感 目标 主机 ， 重 复 第 二 、 第 三 阶段 的 工作 ， 直 至 蠕虫 从 主机 系 
统 被 清除 掉 。 


@ 搜 索 网 上 主机 ， 
发 现 易 感 目标 主机 
时 名 传送 如 虫 代码 
到 目标 主机 。 | 。@ 执 行 时 虫 代码 ， 
感染 目标 主机 
已 经 感染 主机 目标 主机 系统 


14-13 ”网 络 蠕虫 运行 机 制 示 意图 
14.4.3 “网络 蠕虫 常用 技术 


1. 网 络 蠕虫 扫描 技术 


网 络 蠕虫 利用 系统 漏洞 进行 传播 ， 良 好 的 传播 方法 能 够 加 速 蠕虫 传播 ， 使 网 络 蠕虫 以 最 少 
的 时 间 找 到 互联 网 上 易 感 的 主机 。 网 络 蠕虫 改善 传播 效果 的 方法 是 提高 扫描 的 准确 性 ， 快 速 发 
现 易 感 的 主机 。 目 前 ， 有 三 种 措施 可 以 采取 : 一 是 减少 扫描 未 用 的 地 址 空间 ， 二 是 在 主机 漏洞 
密度 高 的 地 址 空间 发 现 易 感 主机 ; 三 是 增加 感染 源 。 根 据 网 络 蠕虫 发 现 易 感 主机 的 方式 ， 可 以 
将 网 络 蠕虫 的 传播 方法 分 成 三 类 ， 即 随机 扫描 、 顺 序 扫描 、 选 择 性 扫描 。 下 面 分 别 说 明 网 络 蠕 
虫 这 几 种 扫描 方式 的 原理 。 

1) 随机 扫描 

随机 扫描 的 基本 原理 是 网 络 蠕虫 会 对 整个 了 地 址 空间 随机 抽取 的 一 个 地 址 进行 扫描 ， 这 
样 网 络 蠕虫 感染 下 一 个 目标 具有 非 确定 性 。“Slammer” 蠕 虫 的 传播 方法 就 是 采用 随机 扫描 感 
染 主 机 。 
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2) 顺序 扫描 

顺序 扫描 的 基本 原理 是 网 络 蠕虫 根据 感染 主机 的 地 址 信息 ， 按 照 本 地 优先 原则 ， 选 择 它 所 
在 网 络 内 的 瑟 地 址 进行 传播 。 顺序 扫描 又 可 称 为 “ 子 网 扫描 ”。 若 蠕虫 扫描 的 目标 地 址 他 为 
A， 则 扫描 的 下 一 个 地 址 他 为 A 十 1 或 者 A 一 1。 一 旦 扫描 到 具有 很 多 漏洞 主机 的 网 络 时 就 会 达 
到 很 好 的 传播 效果 。 该 策略 使 得 网 络 蠕虫 避免 扫描 到 未 用 地 址 空间 ， 不 足 的 地 方 是 对 同一 台 主 
机 可 能 重复 扫描 ， 引 起 网 络 拥塞 。“W32.Blaster* 是 典型 的 顺序 扫描 蠕虫 。 

3) 选择 性 扫描 

选择 性 扫描 的 基本 原理 是 网 络 蠕虫 在 事先 获知 一 定 信息 的 条 件 下 ， 有 选择 地 搜索 下 一 个 感 
染 目标 主机 。 选 择 性 扫描 是 网 络 蠕虫 的 发 展 方向 ， 可 以 进一步 细 分 为 5 几 种 : @ 选 择 性 随机 扫 
描 是 指 网 络 蠕虫 按照 一 定 信息 搜索 下 一 个 感染 目标 主机 ， 将 最 有 可 能 存在 漏洞 的 主机 的 地 址 集 
作为 扫描 的 地 址 空间 ， 以 提高 扫描 效率 。@ 基 于 目标 列表 的 扫描 是 指 网 络 蠕虫 在 寻找 受 感染 的 
目标 前 ， 预 先生 成 一 份 可 能 易 传染 的 目标 列表 ， 然 后 对 该 列表 进行 攻击 尝试 和 传播 。 网 络 蠕虫 
采用 目标 列表 扫描 实际 上 是 将 初始 的 蠕虫 传染 源 分 布 在 不 同 的 地 址 空间 , 以 提高 传播 速度 。 UC 
Berkeley 的 Nicholas C Weaver 实现 了 一 个 基于 目标 列表 扫描 的 试验 性 Warhol 蠕虫 ， 理 论 推测 
该 蠕虫 能 在 30 分 钟 内 感染 整个 互联 网 。@ 基 于 路 由 的 扫描 是 指 网 络 蠕虫 根据 网 络 中 的 路 由 信 
息 ， 如 BGP 路 由 表 信息 ， 有 选择 地 扫描 他 地 址 空间 ， 以 避免 扫描 无 用 的 地 址 空间 。 采 用 随机 
扫描 的 网 络 蠕虫 会 对 未 分 配 的 地 址 空间 进行 探测 ， 而 这 些 地 址 大 部 分 在 互联 网 上 是 无 法 路 由 
的 ， 因 此 会 影响 到 蠕虫 的 传播 速度 。 如 果 网 络 蠕虫 能 够 知道 哪些 人 P 地 址 是 可 路 由 的 ， 则 它 能 
更 快 、 更 有 效 地 进行 传播 ， 并 能 逃避 一 些 对 抗 工具 的 检测 。 基 于 路 由 的 扫描 利用 BGP 路 由 表 公 
开 的 信息 ， 减 少 蠕虫 扫描 的 地 址 空间 ， 提 高 了 蠕虫 的 传播 速度 。 从 理论 上 来 说 ， 路 由 扫描 蠕虫 
的 感染 率 是 采用 随机 扫描 蠕虫 的 感染 率 的 3.5 倍 。 基 于 路 由 的 扫描 的 不 足 是 网 络 蠕虫 传播 时 必 
须 携带 一 个 路 由 他 地 址 库 , 蠕虫 代码 量 大 。 另 外 一 个 不 足 是 , 在 使 用 保留 地 址 空间 的 内 部 网 络 
中 ， 若 采用 基于 路 由 的 扫描 ， 网 络 蠕虫 的 传播 会 受到 限制 。 目 前 ， 基 于 路 由 的 扫描 的 网 络 蠕虫 
还 处 于 理论 研究 阶段 。@@ 基 于 DNS 的 扫描 是 指 网 络 蠕虫 从 DNS 服务 器 获取 他 地 址 来 建立 目标 
地 址 库 , 该 扫描 策略 的 优点 在 于 获得 的 他 地 址 块 具有 针对 性 和 可 用 性 强 的 特点 。@ 分 而 治之 的 
扫描 是 网 络 蠕虫 之 间 相互 协作 快速 搜索 易 感染 主机 的 一 种 策略 ， 网 络 蠕虫 发 送 地 址 库 的 一 部 分 
给 每 台 被 感染 的 主机 ， 然 后 每 台 主 机 再 去 扫描 它 所 获得 的 地 址 。 主 机 A 感染 了 主机 B 后 ,主机 
人 将 它 自身 携带 的 地 址 分 出 一 部 分 给 主机 B， 然 后 主机 B 开始 扫描 这 一 部 分 地 址 。 分 而 治之 的 
扫描 策略 通过 将 扫描 空间 分 成 若干 个 子 空间 ， 各 子 空间 由 已 感染 蠕虫 的 主机 负责 扫描 ， 这 样 就 
可 能 提高 网 络 蠕虫 的 扫描 速度 ， 同 时 避免 重复 扫描 。 分 而 治之 的 扫描 策略 的 不 足 是 存在 “ 坏 点 ” 
问题 。 在 蠕虫 传播 的 过 程 中 ， 如 果 一 台 主机 死机 或 崩溃 ， 那 么 所 有 传 给 它 的 地 址 库 就 会 丢失 
这 个 问题 发 生得 越 早 ， 影 响 就 越 大 。 

表 14-7 列 出 了 几 种 网 络 蠕虫 所 采用 的 传播 策略 。 
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表 14-7 几 种 网 络 蠕虫 传播 策略 统计 分 析 


a 随机 扫描 


选择 性 随机 扫描 
有 


CodeRedI 
CodeRed I 
Nimda 


Slammer 


Blaster 


Lion Worm 


震荡 波 
2. 网 络 蠕虫 漏洞 利用 技术 


网 络 蠕虫 发 现 易 感 目标 主机 后 ， 利 用 易 感 目标 主机 所 存在 的 漏洞 ， 将 蠕虫 程序 传播 给 易 感 
目标 主机 。 常 见 的 网 络 蠕虫 漏洞 利用 技术 主要 有 如 下 几 种 
。 ”主机 之 间 的 信任 关系 漏洞 。 网 络 蠕虫 利用 系统 中 的 信任 关系 ， 将 蠕虫 程序 从 一 台 机 器 
复制 到 另 一 台 机 器 。1988 年 的 “小 莫 里 斯 ”蠕虫 就 是 利用 了 UNIX 系统 中 的 信任 关系 
脆弱 性 来 传播 的 。 
。 日 标 主机 的 程序 漏洞 。 网 络 蠕虫 利用 它 构造 缓冲 区 溢出 程序 ， 进 而 远程 控制 易 感 目标 
主机 ， 然 后 传播 蠕虫 程序 。 
。 目标 主机 的 默认 用 户 和 口令 漏洞 。 网 络 蠕虫 直接 使 用 口令 进入 目标 系统 ， 直 接 上 传 里 
虫 程序 。 
。 目标 主机 的 用 户 安全 意识 注 弱 漏洞 。 网 络 蠕虫 通过 伪装 成 合法 的 文件 ， 引 诱 用 户 点 击 
执行 ， 直 接触 发 蠕虫 程序 执行 。 常 见 的 例子 是 电子 邮件 蠕虫 。 
。 日 标 主机 的 客户 端 程序 配置 漏洞 ， 如 自动 执行 网 上 下 载 的 程序 。 网 络 蠕虫 利用 这 个 漏 
洞 ， 直 接 执行 蠕虫 程序 。 
14.4.4 ”网 络 蠕虫 防范 技术 


网 络 刀 中 已 经 成 为 网 络 系统 的 极 大 威胁 ， 防 范 网 络 蠕虫 需 要 多 种 技术 综合 应 用 ， 包 括 网 络 
蠕虫 监测 与 预警 、 网 络 蠕虫 传 播 抑制 、 网 络 时 中 沁 洞 自动 修复 、 网 络 蠕虫 上 断 等 ， 下 面 将 说 明 
近 几 年 的 网 络 里 虫 检测 防御 的 主要 技术 。 

1. 网 络 蠕虫 监测 与 预警 技术 

网 络 时 下 监测 与 预警 技术 的 基本 原理 是 在 网 络 中 安装 探测 器 ,这些 探测 器 从 网 络 环境 中 收 
集 与 蠕虫 相 关 的 信息 ， 然 后 将 这 些 信息 汇总 分 析 ， 以 发 现 早期 的 网 络 蠕虫 行为 。 当 前 ， 探 测 器 
收集 的 与 蠕虫 相关 的 信息 类 型 有 以 下 几 关 

。 ”林地 网 络 通信 连接 数 


圳 | 起 | 吉 | 起 | 让 | 吉 | 运 


靳 | 时 | 出 | 册 | 计 | 莘 
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。 ICMP 协议 的 路 由 错误 包 ; 

。 ”网 络 当 前 通信 流量 ; 

。 ”网 络 服 务 分 布 ; 

。 域名 服务 ; 

e 端口 活动 ; 

。 CPU 利用 率 ; 

。 ”内 存 利用 率 。 

而 数据 挖掘 、 模 式 匹配 、 数 据 融 合 等 技术 方法 则 用 于 分 析 蠕 虫 信息 。 著 名 的 Grids 是 一 个 
检测 蠕虫 攻击 的 实验 系统 ， 它 在 收集 网 络 通 信 活 动 数据 的 基础 上 ， 构 建 网 络 节点 活动 行为 图 
(Activity Graph) ， 然 后 把 节点 行为 图 与 蠕虫 行为 模式 图 进行 匹配 ， 以 检测 网 络 蠕虫 是 否 存在 。 
而 免费 软件 Snort 则 通过 网 络 蠕虫 的 特征 来 监测 蠕虫 行为 。 


2. 网 络 蠕虫 传播 抑制 技术 


网 络 蠕虫 传播 抑制 技术 的 基本 原理 是 利用 网 络 蠕虫 的 传播 特点 ， 来 构造 一 个 限制 网 络 蠕虫 
传播 的 环境 。 现 在 ， 已 有 的 网 络 蠕虫 传播 抑制 技术 主要 基于 蜜 缸 技术 。 其 技术 方法 是 在 网 络 系 
统 设置 虚拟 机 器 或 虚假 的 漏洞 ， 这 些 虚假 的 机 器 和 漏洞 能 够 欺骗 网 络 蠕虫 ， 导 致 网 络 蠕虫 的 传 
播 能 力 下 降 。 例 如 ，LaBrea 对 抗 蠕虫 工具 ， 能 够 通过 长 时 间 阻 断 与 被 感染 机 器 的 TCP 连接 来 
降低 网 络 蠕虫 的 传播 速度 。 


3. 网 络 系统 漏洞 检测 与 系统 加 固 技术 


网 络 蠕虫 的 传播 常 利用 系统 中 所 存在 的 漏洞 , 特别 是 具有 从 远程 获取 系统 管理 权限 的 高 风 
险 漏 洞 。 

防治 网 络 蠕虫 的 关键 问题 之 一 是 解决 漏洞 问题 , 包括 漏洞 扫描 、 漏 洞 修补 、 漏 洞 预防 等 。 
保护 网 络 系统 免 遭 蠕虫 危害 的 重点 也 就 在 于 及 早 发 现 网 络 系 统 中 存在 的 漏洞 ， 然 后 设法 消除 
漏洞 利用 条 件 ， 限 制 漏洞 影响 的 范围 ， 从 而 达到 间接 破坏 网 络 蠕虫 的 传播 及 发 作 的 条 件 和 环 
境 的 目的 。 漏 洞 检测 有 通用 的 漏洞 扫描 软件 或 者 特定 的 漏洞 扫描 工具 。 网 络 管理 员 通 过 漏洞 
检测 来 发 现 系统 中 所 存在 的 漏洞 分 布 状况 ， 分 析 评 估 漏 洞 的 影响 ， 以 制定 相应 的 漏洞 管理 措 
施 。 系 统 加 固 是 指 通过 一 定 的 技术 手段 ， 提 高 目前 系统 的 安全 性 ， 主 要 采用 修改 安全 配置 、 
调整 安全 策略 、 安 装 补丁 软件 包 、 安 装 安全 工具 软件 等 方式 。 例 如 ， 主 机 的 安全 配置 要 求 是 
尽量 关闭 不 需要 的 服务 ， 和 避免 使 用 默认 账号 和 口令 。 而 漏洞 修补 则 是 根据 漏洞 的 影响 ， 通 常 
从 安全 公司 、 软 件 公司 或 应 急 响 应 部 门 获取 补丁 软件 包 ， 然 后 经 过 测试 ， 最 后 安装 到 需要 加 
固 的 系统 中 。 


4. 网 络 蠕虫 免疫 技术 
网 络 蠕虫 通常 在 受害 主机 系统 上 设置 一 个 标记 ， 以 避免 重复 感染 。 网 络 蠕虫 免疫 技术 的 基 
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本 原理 就 是 在 易 感染 的 主机 系统 上 事先 设置 一 个 蠕虫 感染 标记 ， 欺 骗 真实 的 网 络 蠕虫 ， 从 而 保 
护 易 感 主机 免 受 蠕虫 攻击 。 
5. 网 络 蠕虫 阻 断 与 隔离 技术 


网 络 蠕虫 阻 断 技术 有 很 多 ， 主 要 利用 防火 墙 、 路 由 器 进行 控制 。 例 如 合理 地 配置 网 络 或 防 
火 墙 ， 禁 止 除 正常 服务 端口 外 的 其 他 端口 ， 过 滤 含 有 某 个 蠕虫 特征 的 包 ， 屏 项 已 被 感染 的 主机 
对 保护 网 络 的 访问 等 。 这 样 就 可 以 切断 网 络 蠕虫 的 通信 连接 ， 从 而 阻 断 网 络 蠕虫 的 传播 。 


6. 网 络 蠕虫 清除 技术 


网 络 蠕虫 清除 技术 用 在 感染 蠕虫 后 的 处 理 ， 其 基本 方法 是 根据 特定 的 网 络 蠕虫 感染 系统 后 
所 留 下 的 痕迹 ， 如 文件 、 进 程 、 注 册 表 等 信息 ， 分 析 网 络 蠕 虫 的 运行 机 制 ， 然 后 有 针对 性 地 删 
除 有 关 网 络 蠕虫 的 文件 或 进程 。 清 除 网 络 蠕虫 可 以 手工 清除 或 用 专用 工具 清除 。 采 用 手工 清除 
方式 应 熟知 蠕虫 的 发 作 机 制 ， 通 常 需要 在 受害 机 器 上 进行 “蠕虫 特征 字符 串 查找 、 注 册 表 信息 
修改 、 进 程 列表 查看 ”等 操作 。 蠕 虫 专用 工具 则 由 安全 公司 或 应 急 响 应 部 门 提供 ， 用 户 只 需 简 
单 安装 即 可 运行 。 


14.5 ”僵尸 网 络 分 析 与 防护 


僵尸 网 络 是 恶意 代码 的 一 种 类 型 ， 本 节 首 先 阑 述 了 僵尸 网 络 的 概念 和 特性 ， 分 析 了 僵尸 网 
络 的 运行 机 制 和 相关 技术 ， 然 后 给 出 了 僵尸 网 络 的 防范 技术 方案 。 


14.5.1 僵尸 网 络 概念 与 特性 


僵尸 网 络 (Botnet) 是 指 攻击 者 利用 入 侵 手段 将 僵尸 程序 (bot or zombie) 植 入 目标 计 
算 机 上 ， 进 而 操纵 受害 机 执行 恶意 活动 的 网 络 ， 如 图 14-14 所 示 。 


国 注册 


~ 人、 
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程序 一 
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控制 台 


图 14-14 ”僵尸 网 络 示意 图 
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僵尸 网 络 的 构建 方式 主要 有 远程 漏洞 攻击 、 弱 口令 扫描 入 侵 、 邮 件 附件 、 恶 意 文档 、 文 件 
共享 等 。 早 期 的 IRC 僵尸 网 络 主要 以 类 似 蠕虫 的 主动 扫描 结合 远程 漏洞 攻击 的 方式 进行 构建 。 
目前 ， 攻 击 者 以 网 页 挂 马 〈drive-by download) 的 方式 构造 僵尸 网 络 。 


14.5.2 ”僵尸 网 络 运行 机 制 与 技术 


僵尸 网 络 的 运行 机 制 主要 由 三 个 基本 环节 构成 。 第 一 步 ， 僵 尸 程序 的 传播 。 通 过 利用 计算 
机 网 络 系统 的 漏洞 、 社 会 工程 学 、 犯 罪 工 具 包 等 方式 ， 传 播 僵尸 程序 到 目标 网 络 的 计算 机 上 。 
第 二 步 ， 对 僵尸 程序 进行 远程 命令 操作 和 控制 ， 将 受害 目标 机 组 成 一 个 网 络 。 僵 尸 网 络 可 分 为 
集中 式 和 分 布 式 ， 僵 尸 程序 和 控制 端的 通信 协议 方式 有 阳 C、HTTP。 第 三 步 ， 攻 击 者 通过 僵尸 
网 络 的 控制 服务 器 ， 给 僵尸 程序 发 送 攻击 指令 ， 执 行 攻击 活动 ， 如 发 送 垃圾 电子 邮件 、DDoS 
攻击 等 。 

僵尸 网 络 为 保护 自身 安全 ， 其 控制 服务 器 和 僵尸 程序 的 通信 使 用 加 密 机 制 ， 并 把 通信 内 容 
嵌入 正常 的 HITP 流量 中 ， 以 保护 服务 器 的 隐蔽 性 和 匿名 性 。 控 制服 务 器 和 僵尸 程序 也 采用 认 
证 机 制 ， 以 防范 控制 消息 伪造 和 算 改 。 


14.5.3 ”僵尸 网 络 防 范 技术 


1. 僵尸 网 络 威胁 监测 


通常 利用 蜜 钠 技术 获取 伪 尸 网 络 威胁 信息 ， 部 署 多 个 密 钠 捕获 传播 中 的 僵尸 程序 (Bot)， 
记录 该 Bot 的 网 络 行为 ， 然 后 通过 人 工分 析 网 络 日 志 并 结合 样本 分 析 结 果 ， 可 以 掌握 该 Bot 的 
属性 ， 包 括 它 连 接 的 服务 器 (DNS / IP) 、 端 口 、 频 道 、 密 码 、 控 制 口令 等 信息 ， 从 而 获得 该 
僵尸 网 络 的 基本 信息 甚至 控制 权 。 


2. 僵尸 网 络 检测 

根据 僵尸 网 络 的 通信 内 容 和 行为 特征 ， 检 测 网 络 中 的 异常 网 络 流量 ， 以 发 现 僵尸 网 络 。 
3. 僵尸 网 络 主动 遏制 

通过 路 由 和 DNS 黑 名 单 等 方式 屏蔽 恶意 的 瑟 地 址 或 域名 。 

4. 僵尸 程序 查 杀 

在 受害 的 目标 机 上 ， 安 装 专用 安全 工具 ， 清 除 僵尸 程序 。 


14.6 ”其 他 恶意 代码 分 析 与 防护 


本 节 简 要 叙述 逻辑 炸弹 、 陷 门 、 细 菌 、 间 谍 软 件 等 恶意 代码 ， 重 点 分 析 了 这 些 恶 意 代码 的 
特点 。 
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14.6.1 逻辑 炸弹 


逻辑 炸弹 是 一 段 依附 在 其 他 软件 中 ， 并 具有 触发 执行 破坏 能 力 的 程序 代码 。 逻 辑 炸弹 的 触 
发 条 件 具 有 多 种 方式 ， 包 括 计 数 器 触发 方式 、 时 间 触 发 方式 、 文 件 触发 方式 、 特 定 用 户 访问 触 
发 方式 等 。 逻辑 炸弹 只 在 触发 条 件 满足 后 ， 才 开始 执行 逻辑 炸弹 的 破坏 功能 ， 如 图 14-15 所 示 。 
逻辑 炸弹 一 旦 触发 ， 有 可 能 造成 文件 删除 、 服 务 停止 、 软 件 中 断 运 行 等 破坏 。 逻 辑 炸弹 不 能 复 
制 自身 ， 不 能 感染 其 他 程序 。 


软件 程序 启动 


逻辑 炸弹 检查 触 
发 条 件 是 否 满足 


激活 逻辑 炸弹 


控制 权 转 给 正常 程序 


图 14-15 ”逻辑 炸弹 运行 示意 图 


14.6.2 陷 门 


陷 门 是 软件 系统 里 的 一 段 代码 ， 人 允许 用 户 避 开 系统 安全 机 制 而 访问 系统 。 陷 门 由 专门 的 命 
令 激活 ， 一 般 不 容易 发 现 。 陷 门 通常 是 软件 开发 商 为 调试 程序 、 维 护 系统 而 设 定 的 功能 。 陶 门 
不 具有 自动 传播 和 自我 复制 功能 。 


14.6.3 ”细菌 


细菌 是 指 具 有 自我 复制 功能 的 独立 程序 。 虽 然 细菌 不 会 直接 攻击 任何 软件 ， 但 是 它 通 
过 复制 本 身 来 消耗 系统 资源 。 例 如 ， 某 个 细菌 先 创建 两 个 文件 ， 然 后 以 两 个 文件 为 基础 进 
行 自我 复制 ， 那 么 细菌 以 指数 级 的 速度 增长 ， 很 快 就 会 消耗 掉 系 统 资源 ， 包 括 CPU、 内 存 、 
磁盘 空间 。 


14.6.4 ”间谍 软件 


间谍 软件 通常 指 那些 在 用 户 不 知情 的 情况 下 被 安装 在 计算 机 中 的 各 种 软件 ， 执 行 用 户 非 期 
望 的 功能 。 这 些 软件 可 以 产生 弹出 广告 ， 重 定向 用 户 浏览 器 到 陌生 的 网 站 。 同 时 ， 间 谍 软 件 还 
具有 收集 信息 的 能 力 ， 可 记录 用 户 的 击 键 情 况 、 浏 览 习 惯 ， 甚 至 会 窃取 用 户 的 个 人 信息 《如 用 
户 账号 和 口令 、 信 用 卡号 ) ， 然 后 经 因特网 传送 给 攻击 者 。 一 般 来 说 ， 间 谍 软 件 不 具备 自我 复 
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制 功能 。 目 前 ， 间 谍 软 件 日 益 增多 ， 严 重 威胁 用 户 和 组 织 机 构 的 信息 安全 ， 特 别 是 用 户 的 个 人 
隐私 。 


14.7 ”恶意 代码 防护 主要 产品 与 技术 指标 


本 节 主要 人 氢 述 恶意 代码 防护 产品 和 技术 指标 。 
14.7.1 恶意 代码 防护 主要 产品 


1. 终端 防护 产品 


终端 防护 类 型 的 产品 部 署 在 受 保护 的 终端 上 , 常见 的 终端 有 桌面 电脑 、 服 务 器 、 智 能 手机 、 
智能 设备 。 目 前 ， 典 型 的 防护 模式 是 云 + 终端 。 国 内 提供 终端 恶意 代码 防护 解决 方案 的 公司 有 
北京 金山 办 公 软 件 股份 有 限 公 司 、 北 京 奇 虎 科技 有 限 公 司 、 北 京北 信 源 软件 股份 有 限 公 司 、 北 
京 瑞星 科技 股份 有 限 公司 、 北 京 江 民 新 科技 术 有 限 公司 等 。 


2. 安全 网 关 产 品 


安全 网 关 主 要 用 来 拦截 恶意 代码 的 传播 ， 防 止 破坏 扩大 化 。 安 全 网 关 产 品 分 为 三 大 类 : 第 
一 类 是 通用 性 专用 安全 网 关 ， 这 类 安全 网 关 不 是 针对 某 个 具体 的 应 用 ， 例 如 统一 威胁 管理 
(UTM) 、IPS; 第 二 类 是 应 用 安全 网 关 ， 例 如 邮件 网 关 和 Web 防火墙， 第 三 类 则 是 具有 安全 
功能 的 网 络 设备 ， 例 如 路 由 器 。 


3. 恶意 代码 监测 产品 


恶意 代码 监测 产品 的 技术 原理 是 通过 网 络 流量 监测 以 发 现 异 常 节点 或 者 异常 通信 连接 ， 以 
便 早 发 现 网 络 蠕虫 、 特 洛 伊 木马、 僵尸 网 络 等 恶意 代码 活动 。 典 型 产品 有 IDS、 网 络 协议 分 析 
器 等 。 通 过 协议 分 析 工 具 可 以 快速 地 掌握 网 络 通信 中 的 协议 流量 状况 ， 当 ICMP 等 协议 流量 出 
现 异 常 时 ， 往 往 可 以 看 成 网 络 蠕虫 活动 的 前 兆 ， 从 而 可 以 提前 预警 网 络 蠕虫 攻击 。 

4. 恶意 代码 防护 产品 : 补丁 管理 系统 

恶意 代码 常常 利用 系统 的 漏洞 来 进行 攻击 ， 漏 洞 修补 就 成 为 防范 恶意 代码 最 有 效 的 手段 。 
商业 版 本 的 补丁 管理 系统 大 致 分 为 两 类 : 第 一 类 是 面向 PC 终端 用 户 的 补丁 管理 ， 这 类 产品 的 
补丁 管理 功能 依附 在 杀毒 软件 包 中 ， 例 如 360 安全 卫士 ;第 二 类 是 企业 级 的 补丁 管理 ， 这 类 补 


丁 管理 是 由 补丁 管理 服务 器 和 补丁 管理 代理 共同 实现 的 ， 这 类 商业 产品 有 北 信 源 补丁 分 发 管理 
系统 、Microsoft SUS、PatchLink。 


$5. 恶意 代码 应 急 响应 
恶意 代码 的 爆发 具有 突 发 性 ， 网 络 安全 厂商 或 网 络 安全 应 急 响 应 部 门 会 针对 某 种 恶意 代 
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码 ， 研 发 恶意 代码 专 杀 工具 。 目 前 ， 常 见 的 恶意 代码 专 杀 工具 包括 如 下 几 种 : 

。 ”金山 木马 专 杀 。 它 既是 一 个 木马 专 杀 工具 可 以 查 杀 2 万 多 种 木马 ) ， 又 是 一 个 木马 
防火 墙 ， 可 以 有 效 地 保护 用 户 的 QQ 号 码 、 网 游 以 及 网 络 支 付 安全 ， 快 速 清除 远程 控 
制 型 、 盗 取 密 码 型 、 进 程 注入 型 木马 以 及 反弹 端口 型 木马 。 

。 木马 克星 。 它 是 国内 安全 人 员 防 杀 木 马 的 软件 , 擅长 查 杀 国产 木马 ,对 查 杀 网 络 神偷 、 
网 吧 杀 手 、 键 盘 幽 灵 以 及 捆绑 在 图 片 文件 中 的 木马 非常 有 效 。 

。 木马 清除 大 师 。 它 能 查 杀 5800 余 种 国际 国内 流行 森马、 网络 游戏 盗号 工具 、QQ 盗 密 
码 工具 、 幽 灵 后 门 。 

。 ”Chkrootkit。 它 是 用 于 检查 Rootkit 是 否 存在 的 一 种 工具 , 主要 可 以 在 Linux 、FreeBSD 
等 UNIX 平台 使 用 。 

。 AIRT (Advanced Incident Response Tool) 。 它 是 针对 Linux 的 安全 应 急 响 应 工具 ， 该 
工具 可 以 用 来 查找 隐藏 的 模块 、 隐 藏 的 进程 、 隐 藏 的 端口 号 。 同 时 ， 该 工具 还 能 够 转 
存 和 分 析 隐 藏 的 模块 。 

。 端口 关联 Fport。Fport 可 以 把 本 机 开放 的 TCP/UDP 端口 同 应 用 程序 关联 起 来 , 这 和 使 
用 netstat-an 命令 产生 的 效果 类 似 ， 但 是 该 软件 还 可 以 把 端口 和 运行 着 的 进程 关联 起 
来 ， 并 可 以 显示 进程 PPD、 名 称 和 路 径 。 该 软件 可 以 用 于 将 未 知 的 端口 同 应 用 程序 关 
联 起 来 。 


14.7.2 ”恶意 代码 防护 主要 技术 指标 


恶意 代码 防护 产品 的 主要 技术 指标 有 恶意 代码 检测 能 力 、 恶 意 代码 检 测 准 确 性 、 恶 意 代 码 
阻 断 能 力 。 

(1) 恶意 代码 检测 能 力 。 恶 意 代码 检测 技术 措施 是 评估 恶意 代码 检测 能 力 的 重要 依据 。 技 
术 检 测 措 施 通 常 包括 静态 检测 和 动态 检测 。 其 中 ， 静 态 检测 通过 搜索 目标 对 象 中 是 否 蕴含 恶意 
代码 的 标识 特征 来 识别 ， 或 者 通过 文件 指纹 来 辨别 。 而 动态 检测 措施 则 利用 恶意 代码 运行 的 行 
为 特征 或 活动 轨迹 来 判定 ， 有 具体 技术 包括 安全 沙 箱 、 动 态 调试 、 系 统 监测 、 网 络 协议 分 析 等 。 

(2) 恶意 代码 检测 准确 性 。 受 检测 技术 限制 ， 恶 意 代 码 检测 结果 会 出 现 错误 报警 信息 。 一 
种 情况 是 把 正常 的 目标 对 象 误 报 为 恶意 代码 ， 另 一 种 情况 是 漏 报 恶意 的 目标 对 象 。 理 论 上 ， 恶 
意 代 码 检测 系统 误 报警 、 漏 报警 的 情况 难以 根除 。 

(3) 恶意 代码 阻 断 能 力 。 恶 意 代 码 阻 断 能 力主 要 包含 三 个 方面 : 一 是 阻 断 技术 措施 ， 主 要 
包括 基于 网 络 阻 断 、 基 于 主机 阻 断 、 基 于 应 用 阻 断 、 人 工 协同 干预 阻 断 ， 二 是 阻 断 恶 意 代码 的 
类 型 和 数量 ， 三 是 阻 断 时效 性 ， 即 恶意 代码 阻 断 安全 措施 对 恶意 代码 处 置 的 实时 性 。 


14.8 恶意 代码 防护 技术 应 用 


本 节 给 出 了 终端 防护 、 高 级 持续 威胁 防护 的 应 用 场景 。 
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14.8.1 终端 防护 


终端 防护 通常 是 在 终端 上 安装 一 个 恶意 代码 防护 代理 程序 ， 该 代理 程序 按照 终端 管理 
中 心 下 发 的 安全 策略 进行 安全 控制 。 以 360 天 擎 终端 安全 管理 系统 提供 的 终端 安全 管理 方 
案 为 例 ， 终 端 安装 天 擎 客户 端 ， 通 过 天 擎 终端 安全 管理 系统 进行 统一 安全 管控 ， 如 图 14-16 
所 示 。 


更 新 病毒 库 /补丁 


天 擎 终端 安全 管理 系统 
控制 中 心 


下 、 
Yi 统一 管控 运 维 
数据 更 新 。“、、 


过 ---- 


360 天 擎 终端 360 天 擎 终端 360 天 擎 终端 


图 14-16 终端 恶意 代码 防范 部 署 示意 图 


14.8.2 ”APT 防护 


高 级 持续 威胁 (简称 APT) 通常 利用 电子 邮件 作为 攻击 目标 系统 。 攻 击 者 将 恶意 代码 嵌入 
电子 邮件 中 ， 然 后 把 它 发 送 到 目标 人 群 ， 诱 使 收 件 人 打开 恶意 电子 文档 或 单 击 某 个 指向 恶意 站 
点 的 链接 。 一 旦 收 件 人 就 范 ,， 恶意 代码 将 会 安装 在 其 计算 机 中 ， 从 而 远程 控制 收 件 人 的 计算 机 ， 
进而 逐步 渗透 到 收 件 人 所 在 网 络 ， 实现 其 攻击 意图 。 
针对 高 级 持续 威胁 攻击 的 特点 ， 部 署 APT 检测 系统 ， 检 测 电子 文档 和 电子 邮件 是 否 存在 
恶意 代码 ， 以 防止 攻击 者 通过 电子 邮件 和 电子 文档 渗透 入 侵 网 络 ， 如 图 14-17 所 示 。 
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交换 机 


应 用 服务 器 


邮件 服务 器 


图 14-17 APT 防护 部 署 示意 图 


14.9 本章 小 结 


本 章 叙述 了 恶意 代码 的 概念 和 分 类 ， 重 点 分 析 计 算 机 病毒 、 特 洛 伊 木马 和 网 络 蠕虫 的 运行 
机 制 以 及 防范 技术 原理 和 工具 。 同 时 ， 还 给 出 了 其 他 类 型 恶意 代码 的 有 关 概 念 。 


明 第 15 章 网 络 安全 主动 防御 局 
技术 与 应 用 


15.1 入 侵 阻 断 技 术 与 应 用 


入 侵 阻 断 是 网 络 安全 主动 防御 的 技术 方法 ， 其 基本 原理 是 通过 对 目标 对 象 的 网 络 攻击 
行为 进行 阻 断 ， 从 而 达到 保护 目标 对 象 的 目的 。 本 节 主 要 阐述 入 侵 阻 断 的 技术 原理 和 应 用 
场景 。 


15.1.1 人 侵 阻 断 技术 原理 


防火 墙 、IDS 是 保障 网 络 安全 不 可 缺少 的 基础 技术 ， 但 是 防火 墙 和 IDS 本 身 存 在 技术 上 的 
缺陷 。 防 火 墙 是 基于 静态 的 粗 粒度 的 访问 控制 规则 。 防 火 墙 的 规则 更 新 非 自动 ， 从 而 导致 攻击 
响应 延迟 。 而 IDS 系统 尽管 能 够 识别 并 记录 攻击 ， 却 不 能 及 时 阻止 攻击 ， 而 且 IDS 的 误 报警 造 
成 与 之 联动 的 防火 墙 无 从 下 手 。 另 外 ， 受 软件 工程 及 安全 测试 的 限制 ， 网 络 系统 的 安全 脆弱 性 
不 可 能 完全 避免 。 即 使 发 现 网 络 系统 存在 安全 脆弱 性 ， 但 因为 系统 运行 的 不 可 间断 性 及 安全 修 
补 风险 不 可 确定 性 ， 系 统管 理 员 并 不 敢 轻易 地 安装 补丁 ， 使 得 网 络 系统 的 安全 脆弱 性 的 危害 一 
般 通 过 外 围 设备 来 限制 。 因 此 ， 只 有 具有 防火 墙 、 入 侵 检测 、 攻 击 迁 移 的 多 功能 安全 系统 ， 才 
能 解决 当前 的 实际 网 络 安全 需求 。 

目前 ， 这 种 系统 被 称 为 入 侵 防 御 系 统 ， 简 称 IPS (Intrusion Prevention System) 。IPS 
的 工作 基本 原理 是 根据 网 络 包 的 特性 及 上 下 文 进行 攻击 行为 判断 来 控制 包 转发 ， 其 工作 机 
制 类 似 于 路 由 器 或 防火 墙 ， 但 是 IPS 能 够 进行 攻击 行为 检测 ， 并 能 阻 断 入 侵 行 为 。IPS 的 应 
用 如 图 15-1 所 示 。 

由 于 IPS 具有 防火 墙 和 入 侵 检测 等 多 种 功能 ， 且 受 限 于 IPS 在 网 络 中 所 处 的 位 置 ，IPS 需 
要 解决 网 络 通信 瓶颈 和 高 可 用 性 问题 。 目 前 ， 商 用 的 IPS 都 用 硬件 方式 来 实现 , 例如 基于 ASIC 
来 实现 IPS， 或 者 基于 旁 路 阻 断 (Side Prevent System，SPS ) 来 实现 。SPS 是 以 旁 路 的 方式 监 
测 网 络 流量 ， 然 后 通过 旁 路 注入 报 文 ， 实 现 对 攻击 流量 的 阻 断 。 从 技术 原理 来 分 析 ，SPS 一 般 
对 网 络 延迟 影响 不 大 。 
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图 15-1 IPS 应 用 示意 图 


15.1.2 ”入侵 阻 断 技 术 应 用 


IPS/SPS 的 主要 作用 是 过 滤 掉 有 害 的 网 络 信息 流 ， 阻 断 入 侵 者 对 目标 的 攻击 行为 。IPS/SPS 
的 主要 安全 功能 如 下 : 

。 ”屏蔽 指定 也 地 址 ; 

。 屏蔽 指定 网 络 端口 ; 

。 ”屏蔽 指定 域名 ， 

。 ”封锁 指定 URL、 阻 断 特定 攻击 类 型 ; 

。 ”为 零 日 漏洞 (Zero-day Vulnerabilities) 提供 热 补丁 。 

IPS/SPS 有 利于 增强 对 网 络 攻击 的 应 对 能 力 ， 可 以 部 署 在 国家 关键 信息 网 络 设施 、 运 营 商 
骨干 网 络 节点 、 国 家 信息 安全 监管 单位 。 


15.2 ”软件 白 名 单 技术 与 应 用 


针对 网 络 信息 系统 恶意 软件 攻击 ， 通 过 软件 白 名 单 技术 来 限制 非 授权 安装 软件 包 ， 阻 止 系 
统 非 授权 修改 ， 避 免 恶 意 代码 植 入 目标 对 象 ， 从 而 减少 网 络 安全 威胁 。 本 节 分 析 软 件 白 名 单 的 
技术 原理 ， 给 出 软件 白 名 单 的 应 用 场景 和 参考 案例 。 

15.2.1 软件 白 名 单 技术 原理 


软件 白 名 单 技术 方法 是 指 设置 可 信任 的 软件 名 单列 表 ， 以 阻止 恶意 的 软件 在 相关 的 网 络 信 
息 系统 运行 。 在 软件 白 名 单 技术 的 实现 过 程 中 ， 常 利用 软件 对 应 的 进程 名 称 、 软 件 文件 名 称 、 
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软件 发 行商 名 称 、 软件 二 进 制程 序 等 相关 信息 经 过 密码 技术 处 理 后 , 形成 软件 白 名 单身 份 标识 
如 软件 数字 签名 或 软件 Hash 值 。 然 后 ， 在 此 基础 上 进行 软件 白 名 单身 份 检查 确认 ， 最 后 依据 
软件 白 名 单身 份 检查 结果 来 控制 软件 的 运行 ， 如 图 15-2 所 示 。 


Cm) 


时 
进程 启动 /动态 库 加 载 


Y 


系统 调用 文件 过 滤 模 块 


YY 
获取 软件 二 进 制 文件 名 及 Hash 值 


了 
检查 软件 白 名 单列 表 


此 


下 
y 
启动 /加 载 失败 | 启动 /加 载 软件 二 进 制 程序 


图 15-2 软件 白 单 技术 工作 原理 示意 图 


15.2.2 ”软件 白 名 单 技术 应 用 
软件 白 名 单 技术 可 应 用 于 多 种 安全 场景 ， 常 见 应 用 案例 如 下 。 
1. 构建 安全 、 可 信 的 移动 互联 网 安全 生态 环境 


本 案例 来 自 移动 互联 网 应 用 自律 白 名 单 发 布 平台 。 该 平台 由 中 国 反 网 络 病毒 联盟 (ANVA) 
牵头 建设 。 针 对 App 的 开发 、 传 播 和 终端 保护 三 个 关键 环节 ， 引 导 App 的 开发 者 、 移 动 应 用 商 
店 和 终端 安全 软件 开展 自律 工作 ， 为 网 民 提 供 一 个 安全 的 App 使 用 环境 ， 避 免 感染 移动 恶意 程 
序 ， 如 图 15-3 所 示 。 

移动 互联 网 白 名 单 应 用 审查 流程 共有 如 下 三 个 环节 : 

。 ”初审 。 由 11 家 移动 互联 网 安全 企业 组 成 的 “ 白 名 单 工作 组 ”相互 独立 地 对 App 进行 

全 量 安全 检测 。 

。 ”复审 。 由 “ 白 名 单 工作 组 ”成 员 单 位 根据 “初审 ”结果 通过 线 下 会 议 的 形式 进行 协商 、 

表决 。 
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。 ”终审 。 由 ANVA 结合 “初审 ”结果 、 
“ 白 名 单 ”认证 。 


镍 从 - _ + 办 
$ 过 
* 
他 [3 他 


“复审 ”结果 和 申请 者 澄清 等 综合 判定 是 否 通过 


+ 
人 


图 15-3 移动 互联 网 应 用 自律 白 名 单 生态 关系 图 


移动 互联 网 应 用 自律 白 名 单 的 发 布 过 程 设立 公示 和 发 布 两 个 阶段 ， 公 示 阶 段 由 ANVA 向 
社会 发 布 “ 白 名 单 ”认证 结果 ， 公 示 期 为 7 个 工作 日 ， 其 间接 收 社会 举报 。 通 过 公示 阶段 的 
App，ANVA 将 举行 “ 白 名 单 发 布 会 ”， 现 场 为 “ 白 名 单 App” 颁 发 证 书 ， 同 时 要 求 “应 用 商 
店 自 律 组 ”中 应 用 商店 在 自 有 应 用 商店 Web 网 站 和 App 客户 端 中 对 白 名 单 App 进行 醒目 提示 。 

移动 互联 网 应 用 自律 白 名 单 的 运用 过 程 如 图 15-4 所 示 。 


申请 企业 
须 使 用 与 白 名 单 中 数字 证 书 
相 匹 配 的 私 钥 ， 对 发 布 的 应 


应 用 商店 自律 组 成 员 白 名 单 工作 组 成 员 


优先 上 架 发 布 具有 白 
名 单数 字 证 书 的 应 用 ， 
并 推荐 下 载 ， 同 时 阻 
截 仿 冒 白 名 单 应 用 的 
盗版 或 恶意 应 用 。 


在 终端 防护 软件 中 ， 
信任 和 保护 白 名 单 应 
用 ， 同 时 阻截 仿冒 白 
名 单 应 用 的 盗版 或 恶 
意 应 用 。 


图 15-4 移动 互联 网 应 用 自律 白 名 单 运用 过 程 示意 图 
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2. 恶意 代码 防护 


传统 的 杀毒 软件 基于 黑 名 单 〈 病 毒 特 征 库 ) 匹配 来 防范 恶意 代码 ， 由 于 病毒 特征 库 的 大 小 
和 获 盖 攻击 方法 的 局 限 性 ， 其 对 新 的 零 日 漏洞 的 恶意 代码 难以 查 杀 。 利 用 软件 白 名 单 技术 ， 只 
允许 可 信 的 软件 安装 和 执行 ， 可 以 阻止 恶意 软件 安装 到 目标 主机 ， 同 时 阻 断 其 运行 。 电 力 监控 
主机 软件 简单 、 更 新 变化 小 ， 从 而 适 于 用 软件 白 名 单 管理 ， 国 内 研究 人 员 提 出 了 基于 白 名 单 的 
电力 监控 主机 恶意 代码 防护 技术 方案 ， 如 图 15-5 所 示 。 


1 执行 流程 | 
J 
2. 可 执行 模块 拦截 程序 | 


3. 计算 文件 指纹 


一 一 一 一 一 | 缓 在 中 有 记录 且 验 证 成 功 
4. 指纹 作 关 键 字 ， 在 白 名 单 缓存 中 进行 查找 | 


5. 判定 查找 结果 并 验 i 
缓存 中 无 记录 或 验证 
不 成 功 

6. 向 管理 服务 器 请 求 查 找 指纹 记录 


未 在 服务 器 
白 名 单 注 


判定 返回 结果 
在 白 名 单 服务 器 有 注册 


了 更 新 太志 旧 避 单 要 存 阻止 运行 允许 运行 


不 


15-5 ”基于 白 名 单 的 电力 监控 主机 恶意 代码 防护 工作 机 制 


3. “ 白 环 境 ” 保 护 


“ 白 环境 ”保护 的 安全 机 制 基于 白 名 单 安全 策略 ， 即 只 有 可 信任 的 设备 才能 接 入 控制 网 络 ; 
只 有 可 信任 的 消息 才能 在 网 络 上 传输 ， 只 有 可 信任 的 软件 才 允 许 被 执行 。 
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15.3 网络 流量 清洗 技术 与 应 用 


网 络 信息 系统 常常 受到 DoS、DDoS 等 各 种 恶意 网 络 流量 攻击 ， 导 致 网 络 服务 质量 下 降 
甚至 服务 瘫 病 ， 网 上 业务 中 断 。 网 络 流量 清洗 技术 主要 用 于 清除 目标 对 象 的 恶意 网 络 流量 ， 以 
保障 正常 网 络 服务 通信 。 本 节 分 析 网 络 流量 清洗 技术 的 原理 ， 给 出 网 络 流量 清洗 技术 的 应 用 场 
景 和 服务 类 型 ， 包 括 畸 形 数据 报 文 过 滤 、 抗 拒绝 服务 攻击 、Web 应 用 保护 、DDoS 高 防 人 P 服 
务 等 。 

15.3.1 网络 流量 清洗 技术 原理 

网 络 流量 清洗 系统 的 技术 原理 是 通过 异常 网 络 流量 检测 ， 而 将 原本 发 送 给 目标 设备 系统 的 
流量 牵引 到 流量 清洗 中 心 ， 当 异常 流量 清洗 完毕 后 ， 再 把 清洗 后 留存 的 正常 流量 转送 到 目标 设 
备 系统 。 网 络 流量 清洗 系统 的 主要 技术 方法 如 下 。 


1. 流量 检测 


利用 分 布 式 多 核 硬件 技术 ， 基 于 深度 数据 包 检 测 技术 (DPI) 监测 、 分 析 网 络 流量 数据 ， 
快速 识别 隐藏 在 背景 流量 中 的 攻击 包 ， 以 实现 精准 的 流量 识别 和 清洗 。 恶 意 流 量 主要 包括 
DoS/DDoS 攻击 、 同 步 风暴 (SYN Flood) 、UDP 风暴 (UDP Flood) 、ICMP 风暴 (ICMP Flood) 、 
DNS 查询 请 求 风 暴 (DNS Query Flood) 、HTTP Get 风暴 (HTTP Get Flood) 、CC 攻击 等 网 络 
攻击 流量 。 


2. 流量 牵引 与 清洗 


当 监 测 到 网 络 攻击 流量 时 ， 如 大 规模 DDoS 攻击 ， 流 量 牵引 技术 将 目标 系统 的 流量 动态 转 
发 到 流量 清洗 中 心 来 进行 清洗 。 其 中 ， 流 量 牵引 方法 主要 有 BGP、DNS。 流 量 清 洗 即 拒绝 对 指 
向 目标 系统 的 恶意 流量 进行 路 由 转发 ， 从 而 使 得 恶意 流量 无 法 影响 到 目标 系统 。 


3. 流量 回 注 

流量 回 注 是 指 将 清洗 后 的 干净 流量 回 送 给 目标 系统 ， 用 户 正常 的 网 络 流量 不 受 清洗 影响 。 
15.3.2 ”网 络 流量 清洗 技术 应 用 

网 络 流量 清洗 技术 有 多 种 应 用 场景 ， 主 要 应 用 场景 如 下 。 

1. 畸形 数据 报 文 过 滤 


利用 网 络 流量 清洗 系统 , 可 以 对 常见 的 协议 畸形 报 文 进行 过 滤 , 如 LAND、 Fraggle、 Smurf、 
Winnuke、Ping of Death、Tear Drop 和 TCP Error Flag 等 攻击 。 
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2. 抗拒 绝 服务 攻击 


利用 网 络 流量 清洗 系统 ， 监 测 并 清洗 对 目标 系统 的 拒绝 服务 攻击 流量 ， 如 图 15-6 所 示 。 
常见 的 拒绝 服务 流量 包括 同步 风暴 (SYN Flood)、UDP 风暴 (UDP Flood) .ICMP 风暴 (ICMP 
Flood) 、DNS 查询 请 求 风 暴 (DNS Query Flood) 、HTTP Get 风暴 (HTTP Get Flood) 、CC 
攻击 等 网 络 攻击 流量 。 


攻击 节点 机 器 DDoS 流量 清洗 中 心 


合法 用 户 流量 
图 15-6 ”流量 清洗 抗拒 绝 服务 攻击 应 用 示意 图 


3. Web 应 用 保护 


利用 网 络 流量 清洗 系统 ， 监 测 并 清洗 对 Web 应 用 服务 器 的 攻击 流量 。 常 见 的 网 站 攻击 流 
量 包括 HTTP Get Flood、HTTP Post Flood、HTTP Slow Header/Post、HTTPS Flood 攻击 等 。 


4. DDoS 高 防 IP 服务 

DDoS 高 防卫 通过 代理 转发 模式 防护 源 站 服务 器 , 源 站 服务 器 的 业务 流量 被 牵引 到 高 防卫 ， 
并 对 拒绝 服务 攻击 流量 过 滤 清 洗 后 ， 再 将 正常 的 业务 流量 回 注 到 源 站 服务 器 。 
15.4， 可 信 计 算 技术 与 应 用 


可 信 计 算是 网 络 信息 安全 的 核心 关键 技术 ， 其 技术 思想 是 通过 确保 计算 平台 的 可 信 性 以 保 
障 网 络 安全 。 目 前 ， 可 信 验 证 成 为 国家 网 络 安全 等 级 保护 2.0 的 新 要 求 ， 已 成 为 《信息 安全 技 
术 网 络 安全 等 级 保护 基本 要 求 《GB/T 22239 一 2019) 》 的 重要 组 成 内 容 。 本 节 主要 阐述 了 可 
信 计 算 技 术 的 原理 ， 分 析 可 信 计 算 技术 的 应 用 场景 。 


15.4.1 可 信 计 算 技术 原理 
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早 在 20 世纪 70 年 代 初期 James P.Anderson 就 提出 了 可 信 系 统 (Trusted System) 的 概念 。 
早期 的 可 信 研 究 主 要 集中 于 操作 系统 的 安全 机 制 和 容错 计算 (Fault-Tolerant Computing) 。1999 
年 10 月 ， 由 Intel、Compaq、HP、IBM 以 及 Microsoft 发 起 成 立 了 一 个 “可 信 计 算 平台 联盟 ” 


(Trmsted Computing Platform Alliance，TCPA) ”。 


该 组 织 致力 于 促成 新 一 代 具 有 安全 、 信 任 能 


力 的 硬件 运算 平台 。 2003 年 TCPA 重新 改组 为 “可 信 计 算 组 织 ” (Trusted Computing Group， 
TCG) 。 目 前 TCG 制定 了 一 系列 可 信 计 算 方 面 的 标准 ， 其 中 主要 包括 Trusted Platform Module 
(简写 为 TPM) 标准 和 TCG Trusted Network Connect (简写 为 TNC) 标准 。TCG 正 试图 构建 一 
个 可 信 计 算 体系 结构 ， 从 硬件 、BIOS、 操 作 系统 等 各 个 层次 上 增强 计算 系统 平台 的 可 信 性 ; 拟 
建立 以 安全 芯片 〈TPM) 为 信任 根 的 完整 性 度量 机 制 ， 使 得 计算 系统 平台 运行 时 可 鉴别 组 件 的 


完整 性 ， 防 止 算 改 计算 组 件 运行 ， 如 图 15-7 所 示 。 
执行 执行 


执行 执行 


BIOS 
引导 模块 
完整 性 测量 

图 15-7 可 信 计 算 工 


可 信 计 算 的 技术 原理 是 首先 构建 一 个 信任 根 ， 
平台 ， 到 操作 系统 ， 再 到 应 用 ， 一 级 认证 一 级 ， 


吕 | BIOS 所 | os 加 载 


完整 性 测量 


作 机 制 示意 图 
再 建立 一 条 信任 链 ， 从 信任 根 开始 到 硬件 


级 信任 一 级 ， 把 这 种 信任 扩展 到 整个 计 


算 机 系统 ， 从 而 确保 整个 计算 机 系统 的 可 信 。 一 个 可 信 计 算 机 系统 由 可 信 根 、 可 信 硬 件 平台 、 
可 信 操 作 系统 和 可 信 应 用 系统 组 成 ， 如 图 15-8 所 示 。 


可 信 应 用 系统 


| 


可 信 操 作 系统 | 


可 信 硬 件 平台 


| 


可 信 根 


15-8 可 信 计 算 机 系统 构成 示意 图 
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TPM 是 可 信 计 算 平台 的 信任 根 ， 是 可 信 计 算 的 关键 部 件 。TCG 定义 可 信 计 算 平台 的 信任 
根 包 括 三 个 根 : 可 信 度 量 根 RTM、 可 信 存 储 根 RTS 和 可 信 报 告 根 RTR 。 其 中 ， 可 信和 度量 根 
RTM 是 一 个 软件 模块 ， 可 信 存 储 根 RTS 由 可 信 平 台 模块 TPM 芯片 和 存储 根 密 钥 SRK 组 成 ; 
可 信和 报告 根 RTR 由 可 信 平 台 模块 TPM 芯片 和 根 密 钥 EK 组 成 。 

可 信 计 算是 网 络 信 息 安全 的 核心 关键 技术 ， 中 国 基于 自主 密码 算法 建立 起 以 TCM 为 核心 
的 自主 可 信 计 算 标准 体系 。 全 国信 息 安全 标准 委员 会 设立 了 可 信 计 算 标准 工作 小 组 。 国 家 安全 
主管 部 门 发 布 了 《信息 安全 技术 ”可 信 计 算 密码 支撑 平台 功能 与 接口 规范 》。 可 信 计 算 密码 
支撑 平台 以 密码 技术 为 基础 ,实现 平台 自身 的 完整 性 、 身 份 可 信 性 和 数据 安全 性 等 安全 功能 。 
该 平台 主要 由 可 信和 密码 模块 (TCM) 和 TCM 服务 模块 (TSM) 两 大 部 分 组 成 ， 其 功能 架构 如 
图 15-9 所 示 。 


可 信 计 算 密码 支撑 平台 


可 信和 密码 模块 《TCM) 


15-9 可 信 计 算 密码 支撑 平台 功能 架构 示意 


第 15 章 网 络 安全 主动 防御 技术 原理 与 应 用 “ 国 305 莉 


其 中 ， 可 信和 密码 模块 (TCM) 是 可 信 计 算 密码 支撑 平台 必 备 的 关键 基础 部 件 ， 提 供 独 立 的 


密码 算法 支撑 。TCM 是 硬件 和 固件 的 集合 ， 可 以 采用 独立 的 封装 形式 ， 也 可 以 采用 他 核 的 方 
式 和 其 他 类 型 芯片 集成 在 一 起 ， 提 供 TCM 功能 。TCM 的 基本 组 成 结构 如 图 15-10 所 示 。 
加 
SMS4 引 擎 上 | | SM23 引 擎 
SM3 引 擎 ”一 | 随机 数 产生 器 
HMAC 引 擎 | | | 执行 引擎 
非 易 失 存储 器 易 失 存储 器 


图 15-10 ”可 信 密 码 模块 基本 组 成 结构 示意 图 


TCM 的 各 组 成 部 分 的 功能 用 途 描述 如 下 : 

。 IO: TCM 的 输入 输出 硬件 接口 ; 

。 SMS4 引擎 : 执行 SMS4 对 称 密码 运算 ; 

。 SM2 引擎 : 产生 SM2 密 钥 对 和 执行 SM2 加 /解密 、 签 名 运算 ; 
。 SM3 引擎 : 执行 杂凑 运算 ， 

。 ”随机 数 产生 器 : 生成 随机 数 ; 

。 HMAC 引擎 : 基于 SM3 引擎 来 计算 消息 认证 码 ; 

。 ”执行 引擎 :， TCM 的 运算 执行 单元 ; 

。 非 易 失 性 存储 器 存储 永久 数据 ; 

。 易 失 性 存储 器 : 存储 TCM 运行 时 的 临时 数据 。 


15.4.2 ”可 信 计 算 技术 应 用 


可 信 计 算 技术 可 应 用 于 计算 平台 、 网 络 通信 连接 、 应 用 程序 、 恶 意 代码 防护 等 多 种 保护 场 
景 ， 下 面 分 析 曾 述 其 主要 应 用 场景 。 


1. 计算 平台 安全 保护 


利用 TPM/TCM 安全 芯片 对 计算 平台 的 关键 组 件 进行 完整 性 度量 和 检查 , 防止 恶意 代码 算 
改 BIOS、 操 作 系 统 和 应 用 软件 。 国 内 中 标 鹿 乌 可 信 操 作 系 统 支持 TCM/TPCM 和 TPM2.0 可 信 
计算 技术 规范 ， 通 过 中 标 软件 可 信和 度量 模块 CTMM (CS2C Trusted Measure Module) 提供 可 信 
引导 和 可 信 运 行 控 制 等 功能 ， 利 用 信任 链 的 创建 传递 过 程 ， 实 现 对 平台 软 硬 件 的 完整 性 度量 。 
中 标 麒 麟 可 信 操 作 系统 的 体系 结构 如 图 15-11 所 示 。 
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硬件 驱动 
中 标 出 多 可 信 操 作 系 统 


| TPCM/TCM、TPM2.0 可 信 芯 片 | 


x86 和 自主 CPU 平 台 
(龙芯 、 飞 腾 、 申 威 、 众 志 、 兆 芯 、Arm64 等 ) 


图 15-11 ”中 标 麒麟 可 信 操 作 系统 结构 示意 图 


2. 可 信 网 络 连接 


传统 的 网 络 接 入 控制 通过 网 络 接 入 设备 要 求 终端 提供 终端 的 安全 状态 信息 ， 如 操作 系统 补 
丁 状况 、 杀 毒 软件 安装 状况 。 然 后 网 络 准 入 服务 器 根据 终端 提供 的 安全 状态 信息 ， 检 查分 析 终 
端 是 否 符合 安全 策略 要 求 ， 以 此 判断 是 否 允 许 终端 接 入 网 络 中 。 传 统 的 网 络 接 入 控制 面临 安全 
状态 伪造 问题 、 接 入 后 配置 修改 问题 以 及 设备 假冒 接 入 问题 。 

针对 传统 的 网 络 接 入 控制 系列 安全 问题 , 可 信 网 络 连接 (Trusted Network Connect, TNC) 
利用 TPM/TCM 安全 芯片 实现 平台 身份 认证 和 完整 性 验证 ， 从 而 解决 终端 的 安全 状态 认证 、 接 
入 后 控制 问题 。TNC 的 组 成 结构 分 为 完整 性 度量 层 、 完 整 性 评估 层 、 网 络 访问 层 ， 如 图 15-12 
所 示 。 各 层 的 功能 作用 分 别 阐 述 如 下 : 

。 完整 性 度量 层 。 该 层 负责 搜集 和 验证 AR (访问 请 求 者 ) 的 完整 性 信息 。 
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。 ”完整 性 评估 层 。 该 层 依据 安全 策略 ， 评 估 AR (访问 请 求 者 ) 的 完整 性 状况 。 

。 网络 访问 层 。 该 层 负责 网 络 访问 请 求 处 理 、 安 全 策略 执行 、 网 络 访问 授权 。 

TNC 通过 对 网 络 访问 者 的 设备 进行 完整 性 度量 ， 防 止 非 授权 的 设备 接 入 网 络 中 ， 从 而 确 
保 网 络 连接 的 可 信 。 


完整 性 完整 性 测量 验证 


完整 性 
评估 层 


网 络 络 访问 请 求 者 上 
访问 层 网 络 访问 请 求 者 策略 执行 点 


请 求 者 /VPN 客 户 端 等 交换 机 /防火 墙 /VPN 网 关 
图 15-12 ”可 信 网 络 连接 组 成 结构 示意 图 


3. 可 信和 验证 


网 络 安全 等 级 保护 标准 2.0 构建 以 可 信 计 算 技术 为 基础 的 等 级 保护 核心 技术 体系 ， 要 求 基 
于 可 信 根 对 通信 设备 、 边 界 设备 、 计 算 设 备 等 保护 对 象 的 系统 引导 程序 、 系 统 程序 、 重 要 配置 
参数 等 进行 可 信和 验证 ， 并 在 检测 到 其 可 信 性 受到 破坏 后 进行 报警 ， 并 将 验证 结果 形成 审计 记录 
送 至 安全 管理 中 心 。 对 于 高 安全 等 级 的 系统 ， 要 求 对 应 用 程序 的 关键 执行 环节 进行 动态 可 信 验 
证 ， 在 检测 到 其 可 信 性 受到 破坏 后 进行 报警 ， 并 将 验证 结果 形成 审计 记录 送 至 安全 管理 中 心 。 
另外 ， 对 于 恶意 代码 攻击 ， 采 取 主动 免疫 可 信 验 证 机 制 及 时 识别 入 侵 和 病毒 行为 ， 并 将 其 有 效 
阻 断 。 

可 信 验 证 的 技术 原理 是 基于 可 信 根 ， 构 建 信任 链 ， 一 级 度量 一 级 ， 一 级 信任 一 级 ， 把 信任 
关系 扩大 到 整个 计算 节点 ， 从 而 确保 计算 节点 可 信 。 可 信 验 证 实施 框架 如 图 15-13 所 示 。 
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安全 管理 中 心 二 二 
1 六 i 
系统 管理 | | 安全 管理 | | 审计 管理 3 
应 用 进程 主体) 
四 - 
略 计 视 
下 眉 
”车 2 
a 历 作 机 抽 站 
吕 访问 | | 访问 访问 
判定 入 出 访问 
人 TC 0 控制 
: 机 | 机 制 | | 机制 机 制 
人 | | 制 
度量 机 制 网 
而: 制 | 
ee 主动 监控 机 制 合 | 访问 控制 机 抽 
基本 信任 基 次 
源 
访 
a 
可 信 根 可 信 固 件 | wy 数据 1 数据 2 
可 信 硬 件 平台 数据 资源 (客体 ) 


图 15-13 ”可 信 验 证 实施 框架 示意 图 


15.5 ”数字 水 印 技术 与 应 用 


数字 水 印 是 一 门 新 兴 的 网 络 信息 安全 技术 ， 本 节 给 出 数字 水 印 的 技术 原理 ， 并 分 析 其 应 用 
场景 ， 主 要 包括 敏感 信息 增强 保护 、 防 范 电子 文件 非 授权 扩散 、 知 识 产 权 保护 、 网 络 攻击 活动 
溯源 、 敏 感 信 息 访问 控制 等 。 


15.5.1 数字 水 印 技术 原理 
数字 水 印 是 指 通过 数字 信号 处 理 方法 ， 在 数字 化 的 媒体 文件 中 嵌入 特定 的 标记 。 水 印 分 为 


可 感知 的 和 不 易 感知 的 两 种 。 数 字 水 印 技术 通常 由 水 印 的 嵌入 和 水 印 的 提取 两 个 部 分 组 成 ， 如 
图 15-14 所 示 。 
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嵌入 数字 
水 印 算法 | “后 载体 | 


数字 水 印 提取 过 程 
图 15-14 数字 水 印 工作 原理 示意 图 

数字 水 印 的 嵌入 方法 主要 分 为 空间 域 方法 和 变换 域 方法 ， 其 工作 原理 如 下 。 

1. 空间 域 方法 

空间 域 方法 是 将 水 印信 息 直接 又 加 到 数字 载体 的 空间 域 上 。 典 型 的 算法 有 Schyndel 算法 和 
Patchwork 算法 。 其 中 ，Schyndel 算法 又 称 为 最 低 有 效 位 算法 (LSB) ， 该 算法 首先 将 一 个 密 钥 
输入 一 个 m 序列 发 生 器 来 产生 水 印信 号 ,然后 排列 成 二 维 水 印信 号 ， 按 像素 点 逐一 嵌入 原始 图 
像 像素 值 的 最 低位 上 ; Patchwork 算法 是 通过 改变 图 像 数 据 的 统计 特性 将 信息 嵌入 像素 的 亮度 
值 中 。 

2. 变换 域 方法 

变换 域 方法 是 利用 扩展 频谱 通信 技术 ， 先 计算 图 像 的 离散 余弦 变换 (DCT) ,再 将 水 印 邯 
加 到 DCT 域 中 幅 值 最 大 的 前 工 个 系数 上 不 包括 直流 分 量 ) ， 通 常 为 图 像 的 低频 分 量 。 典 型 
的 算法 为 NEC 算法， 该 算法 首先 由 作者 的 标识 码 和 图 像 的 Hash 值 等 组 成 密 钥 ， 以 该 密 钥 为 种 


子 来 产生 伪 随 机 序列 ， 再 对 图 像 做 DCT 变换 ， 用 该 伪 随 机 高 斯 序列 来 调制 〈 登 加 )》 图 像 除 直 
流 分 量 外 的 1000 个 最 大 的 DCT 系数 。 


15.5.2 ”数字 水 印 技术 应 用 
数字 水 印 常见 的 应 用 场景 主要 有 版 权 保护 、 信 息 隐藏 、 信 息 溯源 、 访 问 控制 等 。 
1. 版 权 保护 


利用 数字 水 印 技术 ， 把 版 权 信息 嵌入 数字 作品 中 ， 标 识 数 字 作 品 版 权 或 者 添加 数字 作品 的 
版 权 电 子 证 据 ， 以 期 达到 保护 数字 作品 的 目的 。 


2. 信息 隐藏 


利用 数字 水 印 技术 , 把 敏感 信息 嵌入 图 像 、 声 音 等 载体 中 ,以 期 达到 隐藏 敏感 信息 的 目的 ， 
使 得 网 络 安全 威胁 者 无 法 察觉 到 敏感 信息 的 存在 ， 从 而 提升 敏感 信息 的 安全 保护 程度 。 
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3. 信息 溯源 


利用 数字 水 印 技术 ， 把 文件 使 用 者 的 身份 标识 嵌入 受 保护 的 电子 文件 中 ， 然 后 通过 电子 文 
件 的 水 印 追 踪 文 件 来 源 ， 防 止 电子 文件 非 授权 扩散 。 


4. 访问 控制 


利用 数字 水 印 技术 ， 将 访问 控制 信息 嵌入 需要 保护 的 载体 中 ,在 用 户 访问 受 保护 的 载体 之 
前 通过 检测 水 印 以 判断 是 否 有 权 访问 ， 从 而 可 以 起 到 保护 作用 。 


15.6 ”网 络 攻 击 陷阱 技术 与 应 用 


网 络 攻 击 陷阱 技术 拟 通 过 改变 保护 目标 对 象 的 信息 ， 欺 骗 网 络 攻击 者 ， 从 而 改变 网 络 安全 
防守 方 的 被 动 性 ， 提 升 网 络 安全 防护 能 力 。 本 节 主 要 阐述 网 络 攻击 陷阱 技术 的 原理 ， 分 析 其 典 
型 的 应 用 场景 。 


15.6.1 ”网络 攻击 陷阱 技术 原理 


网 络 系统 中 的 各 个 组 成 部 分 ， 目 前 不 可 避免 地 存在 安全 脆弱 性 ， 通 常 通过 补丁 的 方法 防范 
或 消除 这 些 脆弱 性 。 虽 然 这 在 一 定 程度 上 可 以 阻止 敌手 利用 漏洞 ， 但 是 这 仅仅 是 被 动 的 防范 
攻击 者 仍然 可 用 漏洞 监测 程序 快速 发 现 攻击 目标 的 脆弱 性 ， 然 后 进行 攻击 ， 从 而 占据 网 络 攻击 
的 主动 权 。 传 统 防范 方法 中 ， 一 般 为 攻击 者 充分 掌握 目标 系统 的 脆弱 信息 ， 主 动 选 择 目标 最 薄 
弱 的 环节 强行 攻 入 ， 而 安全 保护 目标 静止 不 变 ， 防 御 策 略 固定 ， 不 能 给 攻击 者 构成 威胁 或 造成 
损失 。 因 此 ， 寻 找 有 效 的 主动 安全 防御 方法 ， 确 保 网 络 系统 免 受 攻击 ， 是 当前 网 络 安全 急需 的 
技术 。 网 络 诱骗 技术 就 是 一 种 主动 的 防御 方法 ， 作 为 网 络 安全 的 重要 策略 和 技术 方法 ， 它 有 利 
于 网 络 安全 管理 者 获得 信息 优势 。 网 络 攻击 诱骗 网 络 攻击 陷阱 可 以 消耗 攻击 者 所 拥有 的 资源 ， 
加 重 攻 击 者 的 工作 量 ， 迷 惑 攻击 者 ， 甚 至 可 以 事先 掌握 攻击 者 的 行为 ， 跟 踪 攻 击 者 ， 并 有 效 地 
制止 攻击 者 的 破坏 行为 ， 形 成 威慑 攻击 者 的 力量 。 目 前 ， 网 络 攻击 诱骗 技术 有 蜜 灸 主机 技术 和 
陷阱 网 络 技术 。 


1. 蜜 钠 主 机 技术 


蜜 饶 主 机 技术 包括 空 系统 、 镜 像 系 统 、 虚 拟 系统 等 。 

。 空 系统 。 空 系统 是 标准 的 机 器 ， 上 面 运行 着 真实 完整 的 操作 系统 及 应 用 程序 。 在 空 系 
统 中 可 以 找到 真实 系统 中 存在 的 各 种 漏洞 ， 与 真实 系统 没有 实质 区 别 ， 没 有 刻意 地 模 
拟 某 种 环境 或 者 故意 地 使 系统 不 安全 。 任 何 欺骗 系统 做 得 再 逼真 ， 也 绝 不 可 能 与 原 系 
统 完全 一 样 ， 利 用 空 系 统 做 蜜 缸 是 一 种 简单 的 选择 。 

。 镜像 系统 。 攻 击 者 要 攻击 的 往往 是 那些 对 外 提供 服务 的 主机 ， 当 攻击 者 被 诱导 到 空 系 
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统 或 模拟 系统 的 时 候 ， 会 很 快 发 现 这 些 系统 并 不 是 他 们 期 望 攻击 的 目标 。 因 此 ， 更 有 
效 的 做 法 是 ， 建 立 一 些 提供 敌手 感 兴趣 的 服务 的 服务 器 镜像 系统 ， 这 些 系 统 上 安装 的 
操作 系统 、 应 用 软件 以 及 具体 的 配置 与 真实 的 服务 器 基本 一 致 。 镜 像 系 统 对 攻击 者 有 
较 强 的 欺骗 性 ， 并 且 ， 通 过 分 析 攻 击 者 对 镜像 系统 所 采用 的 攻击 方法 ， 有 利于 我 们 加 
强 真实 系统 的 安全 。 

。 ”虚拟 系统 。 虚 拟 系统 是 指 在 一 台 真 实 的 物理 机 上 运行 一 些 仿真 软件 ， 通 过 仿真 软件 对 
计算 机 硬件 进行 模拟 ， 使 得 在 仿真 平台 上 可 以 运行 多 个 不 同 的 操作 系统 ， 这 样 一 台 真 
实 的 机 器 就 变 成 了 多 人 台 主 机 称 为 虚拟 机 〉。 通 常 将 在 真实 的 机 器 上 安装 的 操作 系统 
称 为 宿主 操作 系统 ， 将 在 仿真 平台 上 安装 的 操作 系统 称 为 客户 操作 系统 ， 仿 真 软件 在 
宿主 操作 系统 上 安装 。VMware 是 典型 的 仿真 软件 ， 它 在 宿主 操作 系统 和 客户 操作 系 
统 之 间 建 立 了 一 个 虚拟 的 硬件 仿真 平台 ， 客 户 操作 系统 可 以 基于 相同 的 硬件 平台 模拟 
多 台 虚拟 主机 。 另 外 ， 在 因特网 上 ， 还 有 一 个 专用 的 虚拟 蜜 缸 系统 构建 软件 Honeyd， 
它 可 以 用 来 虚拟 构造 出 多 种 主机 ， 并 且 在 虚拟 主机 上 ， 还 可 以 配置 运行 不 同 的 服务 和 
操作 系统 ， 模 拟 多 种 系统 脆弱 性 。Honeyd 的 应 用 环境 如 图 15-15 所 示 。 


Linux 1.09 ”FreeBSD32-40 WindowsNT4 NetBSD16H 


图 15-15 Honeyd 虚拟 系统 示意 图 


2. 陷阱 网 络 技术 


陷阱 网 络 由 多 个 蜜 缸 主机 、 路 由 器 、 防 火 墙 、IDS、 审 计 系统 共同 组 成 ， 为 攻击 者 制造 一 
个 攻击 环境 ， 供 防御 者 研究 攻击 者 的 攻击 行为 。 陷 阱 网 络 一 般 需 要 实现 蜜 钠 系 统 、 数 据 控制 系 
统 、 数 据 捕获 系统 、 数 据 记 录 、 数 据 分 析 、 数 据 管理 等 功能 。 图 15-16 是 第 一 代 陷阱 网 络 ， 出 
入 陷阱 网 络 的 数据 包 都 经 过 防火 墙 和 路 由 器 ， 防 火 墙 的 功能 是 控制 内 外 网 络 之 间 的 通信 连接 ， 
防止 陷阱 网 络 被 作为 攻击 其 他 系统 的 跳板 ， 其 规则 一 般配 置 成 不 限制 外 部 网 对 陷阱 网 络 的 访 
间 ， 但 需要 对 陷阱 网 络 中 的 蜜 镀 主机 对 外 的 连接 加 强 控制 ， 包 括 : 限制 对 外 连接 的 目的 地 、 限 
制 主动 对 外 发 起 连接 、 限 制 对 外 连接 的 协议 类 型 等 。 路 由 器 安放 在 防火 墙 和 陷阱 网 络 之 间 ， 路 
由 器 可 以 隐藏 防火 墙 , 即使 攻击 者 控制 了 陷阱 网 络 中 的 蜜 缸 主机 , 发 现 路 由 器 与 外 部 网 相连 接 ， 
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也 能 被 防火 墙 发 现 。 同 时 ， 路 由 器 具有 访问 控制 功能 ， 可 以 弥补 防火 墙 的 不 足 ， 例 如 用 于 防止 
地 址 欺骗 攻击 、DoS、 基 于 ICMP 的 攻击 等 。 陷 阱 网 络 的 数据 捕获 设备 是 IDS， 它 监测 和 记录 
网 络 中 的 通信 连接 并 报警 可 疑 的 网 络 活动 。 此 外 ， 为 掌握 攻击 者 在 蜜 镀 主 机 中 的 行为 ， 必 须 设 
法 获取 系统 活动 记录 ， 方 法 有 两 种 : 一 是 让 所 有 的 系统 日 志 不 但 在 本 地 记录 ， 同 时 也 传送 到 一 
个 远程 的 日 志 服务 器 上 ; 二 是 安放 监控 软件 ， 进 行 击 键 记录 、 屏 幕 拷贝 、 系 统 调用 记录 等 ， 然 


后 传送 到 远程 主机 。 
陷阱 子 网 
: , 交换 机 
日 志 Solaris Windows Linux 入 侵 检测 安全 管理 
密 负 主机 蜜 能 主机 。” 蜜 纵 主机 密 负 主机 系统 子 网 
日 志 及 报警 
管理 系统 


15-16 第 一 代 陷 阱 网 络 示意 图 


第 二 代 陷 阱 网 络 技术 实现 了 数据 控制 系统 、 数 据 捕获 系统 的 集成 系统 ， 这 样 就 更 便于 安装 
与 管理 ， 如 图 15-17 所 示 。 它 的 优点 包括 : 一 是 可 以 监控 非 授权 的 活动 ， 二 是 隐蔽 性 更 强 ; 三 
是 可 以 采用 积极 的 响应 方法 限制 非法 活动 的 效果 ， 如 修改 攻击 代码 字 节 ， 使 攻击 失效 。 


了 TT 


受 保护 子 网 


“ 失 天 辣 知 庆 则 


a 
Hub 


加 加 


图 15-17 第 二 代 陷 阱 网 络 示 意图 
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目前 ,研究 人 员 正 在 开发 虚拟 陷阱 网 络 (Virtual Honeynets) ， 它 将 陷阱 网 络 所 需要 的 功 
能 集中 到 一 个 物理 设备 中 运行 ， 实 现 蜜 饶 系 统 、 数 据 控制 系统 、 数 据 捕获 系统 、 数 据 记 录 等 功 
E， 我 们 把 它 称 作 第 三 代 陷阱 网 络 技术 ， 如 图 15-18 所 示 。 


外 网 


是 拟 系 统 


虚拟 系统 
图 15-18 第 三 代 陷阱 网 络 示 意图 


目前 ， 国 内 相关 的 商业 产品 有 明 鉴 迷 网 系统 - 蜜 炙 HPOT。 开 源 的 网 络 攻 击 陷阱 系统 有 
Honeyd、 工 业 控制 系统 蜜 色 Conpot、 口 令 蜜 饶 Honeywords 等 。 


15.6.2 ”网 络 攻击 陷阱 技术 应 用 


网 络 攻击 陷阱 技术 是 一 种 主动 性 网 络 安全 技术 ， 已 经 逐步 取得 了 用 户 的 认可 ， 其 主要 应 用 
场景 为 恶意 代码 监测 、 增 强 抗 攻击 能 力 和 网 络 态势 感知 。 


1. 恶意 代码 监测 


对 蜜 色 节 点 的 网 络 流量 和 系统 数据 进行 恶意 代码 分 析 ， 监 测 异常 、 隐 蔽 的 网 络 通信 ， 从 而 
发 现 高 级 的 恶意 代码 。 


2. 增强 抗 攻 击 能 力 


利用 网 络 攻击 陷阱 改变 网 络 攻防 不 对 称 状 况 ， 以 虚假 目标 和 信息 干扰 网 络 攻击 活动 ， 延 组 
网 络 攻击 ， 便 于 防守 者 采取 网 络 安全 应 急 响 应 。 


3. 网 络 态势 感知 


利用 网 络 攻击 陷阱 和 大 数据 分 析 技术 ， 获 取 网 络 威胁 者 情报 ， 掌 握 其 攻击 方法 、 攻 击 行为 
特征 和 攻击 来 源 ， 从 而 有 效 地 进行 网 络 态势 感知 。 


15.7 入 侵 容忍 及 系统 生存 技术 与 应 用 


入 侵 容 忍 及 系统 生存 技术 是 网 络 安全 防御 思想 的 重大 变化 ， 其 技术 目标 是 实现 网 络 安全 弹 
性 ， 确 保 网 络 信息 系统 具有 容 侵 能 力 、 可 恢复 能 力 ， 保 护 业务 持续 运营 。 本 节 主 要 阐述 入 侵 容 
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忍 及 系统 生存 技术 的 原理 ， 分 析 其 应 用 场景 ， 包 括 弹性 CA 系统 、 区 块 链 等 。 
15.7.1 人 侵 容 忍 及 系统 生存 技术 原理 


如 图 15-19 所 示 ， 传 统 的 网 络 信息 安全 技术 中 ， 安 全 1.0 理念 是 把 入 侵 者 挡 在 保护 系统 之 
外 ， 安 全 2.0 理念 是 检测 网 络 安全 威胁 、 阻 止 网 络 安全 威胁 、 实 现 网 络 安全 隔离 ， 而 安全 3.0 
理念 是 容忍 入 侵 ， 对 网 络 安全 威胁 进行 响应 ， 使 受害 的 系统 具有 可 恢复 性 。 


入 侵 者 。。 安全 1.0 安全 3.0 


i 
iE 对 
内 
D 
So 


| 
加 
总 
尼 


设计 者 /开发 者 / 运 维 者 
| 


(9 


漏洞 | 


防止 入 侵 
图 15-19 ”网络 信息 安全 技术 理念 演变 示意 图 


入 侵 容 忍 及 系统 生存 技术 的 思想 是 假定 在 遭受 入 侵 的 情况 下 , 保障 网 络 信息 系统 仍 能 按 用 户 
要 求 完成 任务 。 据 有 关 资 料 统 计 ， 通 信 中 断 1 小 时 可 以 使 保险 公司 损失 2 万 美元 ， 使 航空 公司 损 
失 250 万 美元 ， 使 投资 银行 损失 600 万 美元 。 国 外 研究 人 员 提 出 生存 性 3R 方法 ， 该 方法 首先 将 
系统 划分 成 不 可 攻破 的 安全 核 和 可 恢复 部 分 ， 然 后 对 一 定 的 攻击 模式 ， 给 出 相应 的 3R 策略 : 抵 
抗 (Resistance) 、 识 别 〈Recognition) 和 恢复 (Recovery) ， 并 将 系统 分 为 正常 服务 模式 和 被 黑 
客 利用 的 入 侵 模式 ， 给 出 系统 需要 重点 保护 的 基本 功能 服务 和 关键 信息 ， 针 对 两 种 模式 分 析 系 统 
的 3R 策略 ， 找 出 其 弱点 并 改进 ， 最后， 根据 使 用 和 入 侵 模 式 的 变化 重复 以 上 的 过 程 。3R 方法 假 
定 基 本 服务 不 可 攻破 ， 入 侵 模 式 是 有 限 集 ， 维 持 攻 防 的 动态 平衡 是 生存 性 的 前 提 。 

入 侵 容忍 及 系统 生存 技术 主要 有 分 布 式 共 识 、 主 动 恢 复 、 门 限 密码 、 多 样 性 设计 等 。 其 中 ， 
分 布 式 共识 避免 单 一 缺陷 ;主动 恢复 则 通过 自我 清除 技术 ， 周 期 性 让 系统 迁移 转变 到 可 信 的 状 
态 ， 破 坏 攻 击 链条 ; 门限 密码 则 可 以 用 于 保护 秘密 ， 门 限 密码 算法 通常 用 (mn，k) 形式 表示 ，7 
表示 参与 者 的 个 数 ，k 表示 门限 值 〈 也 称 为 阔 值 ) ， 表 示 获 取 秘 密 最 少 需要 的 参与 者 个 数 ， 多 
样 性 设计 可 以 避免 通用 模式 的 失效 ， 如 操作 系统 的 多 样 性 可 增强 抗 网 络 蠕虫 攻击 能 力 。 


15.7.2 ”人 侵 容忍 及 系统 生存 技术 应 用 


入 侵 容 忍 及 系统 生存 技术 使 得 系统 具有 容忍 入 侵 的 能 力 。 目 前 ， 该 技术 的 思想 已 经 逐步 推 
广 应 用 。 下 面 以 弹性 CA 系统 和 区 块 链 为 例 说 明 入 侵 容忍 技术 应 用 。 
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1. 弹性 CA 系统 


CA 私 钥 是 PKI 系统 的 安全 基础 ， 一 旦 CA 私 钥 泄露 ， 数 字 证 书 将 无 法 得 到 信任 。 为 保护 
CA 私 钥 的 安全 性 ， 研 究 人 员 提 出 弹性 CA 系统 ， 容 忍 一 台 服 务 器 或 多 台 设备 遭受 入 侵 时 ，PKI 
系统 仍然 能 够 正常 运行 。 其 主要 技术 方法 是 采用 门限 密码 的 技术 。 通 过 将 私 钥 4 分 解 成 若干 个 数 
的 和 ， 即 d=qdrtqzt…+di， 再 将 di 分 到 第 i 个 服务 器 中 去 ， 当 需要 签名 时 ,客户 机 将 需要 的 签名 信 
息 Hash 结果 M 发 送 到 这 1 个 服务 器 中 ， 各 服务 器 将 计算 结果 送 回 客户 机 ， 客 户 机 再 计算 。 


2. 区 块 链 


区 块 链 由 众多 对 等 的 节点 组 成 , 利用 共识 机 制 、 密 码 算法 来 保持 区 块 数据 和 交易 的 完整 性 、 
一 致 性 ， 形 成 一 个 统一 的 分 布 式 账本 。 区 块 链 是 一 个 去 中 心 化 的 分 布 式 数据 库 ， 数 据 安全 具有 
较 强 的 入 侵 容 忍 能 力 。 


15.8 ”隐私 保护 技术 与 应 用 


隐私 保护 技术 是 针对 个 人 信息 安全 保护 的 重要 措施 ， 本 节 首 先 阐 述 隐私 保护 的 类 型 ， 然 后 
给 出 隐私 保护 技术 的 原理 和 应 用 场景 。 


15.8.1 隐私 保护 类 型 及 技术 原理 


隐私 可 以 分 为 身份 隐私 、 属 性 隐私 、 社 交 关系 隐私 、 位 置 轨迹 隐私 等 几 大 类 。 各 类 隐私 特 
性 及 保护 要 求 如 下 所 述 。 


1. 身份 隐私 


身份 隐私 是 指 用 户 数据 可 以 分 析 识 别 出 特 定 用 户 的 真实 身份 信息 。 身 份 隐私 保护 的 目标 是 
降低 攻击 者 从 数据 集中 识别 出 某 特定 用 户 的 可 能 性 。 身 份 隐私 的 常用 保护 方法 是 对 公开 的 数据 
或 信息 进行 匿名 化 处 理 ， 去 掉 与 真实 用 户 相关 的 标识 和 关联 信息 ， 防 止 用 户 身 份 信息 泄露 。 


2. 属性 隐私 


属性 信息 是 指 用 来 描述 个 人 用 户 的 属性 特征 ， 例 如 用 户 年 龄 、 用 户 性 别 、 用 户 薪水 、 用 户 
购物 史 。 属 性 隐私 保护 的 目标 是 对 用 户 相关 的 属性 信息 进行 安全 保护 处 理 ， 防 止 用 户 敏感 属性 
特征 泄露 。 


3. 社交 关系 隐私 


社交 关系 隐私 是 指 用 户 不 愿 公开 的 社交 关系 信息 。 社 交 关 系 隐私 保护 则 是 通过 对 社交 关系 
网 中 的 节点 进行 匿名 处 理 ， 使 得 攻击 者 无 法 确认 特定 用 户 拥有 哪些 社交 关系 。 
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4. 位 置 轨迹 隐私 


位 置 轨迹 隐私 是 指 用 户 非 自愿 公开 的 位 置 轨迹 数据 及 信息 ， 以 防止 个 人 敏感 信息 暴露 。 目 
前 ， 位 置 轨迹 信息 的 获取 来 源 主要 有 城市 交通 系统 、GPS 导航 、 行 程 规划 系统 、 无 线 接 入 点 以 
及 打车 软件 等 。 对 用 户 位 置 轨迹 数据 进行 分 析 ， 可 以 推导 出 用 户 隐 私 属 性 ， 如 私密 关系 、 出 行 
规律 、 用 户 真 实 身 份 ， 从 而 给 用 户 造 成 伤害 。 位 置 轨迹 隐私 保护 的 目标 是 对 用 户 的 真实 位 置 和 
轨迹 数据 进行 隐藏 或 安全 处 理 ， 不 泄露 用 户 的 敏感 位 置 和 行动 规律 给 恶意 攻击 者 ， 从 而 保护 用 
户 安全 。 

隐私 保护 技术 的 目标 是 通过 对 隐私 数据 进行 安全 修改 处 理 ， 使 得 修改 后 的 数据 可 公开 发 
布 而 不 会 遭受 隐私 攻击 。 同 时 ， 修 改 后 的 数据 要 在 保护 隐私 的 前 提 下 最 大 限度 地 保留 原 数据 的 
使 用 价值 。 目 前 ， 隐 私 保护 的 方法 主要 有 -匿名 方法 和 差分 隐私 方法 。 

1) k- 匿 名 方法 

kk- 匿名 方法 是 Samarati 和 Sweeney 在 1998 年 提出 的 技术 。k- 匿 名 方法 要 求 对 数据 中 的 所 
有 元 组 进行 泛 化 处 理 ， 使 得 其 不 再 与 任何 人 一 一 对 应 ， 且 要 求 泛 化 后 数据 中 的 每 一 条 记录 都 要 
与 至 少 k- 1 条 其 他 记录 完全 一 致 ， 如 表 15-1 所 示 。k- 匿 名 方法 容易 遭受 到 一 致 性 攻击 ， 研 究 
人 员 Machanavajjhala 等 人 在 k- 匿 名 的 基础 上 ， 提 出 了 改进 ， 即 1- 多 样 性 方法 ， 在 任意 一 个 等 
价 类 中 的 每 个 敏感 属性 (如 “疾病 ”) 至 少 有 1 个 不 同 的 值 ， 从 而 避免 了 一 致 性 攻击 。 


表 15-1 元 组 泛 化 示例 


数据 : < 邮编 ， 出 生日 期 ， 性 别 ， 疾 病 > 特点 特 点 
<02138，1945 年 7 月 31 日 ， 男 ， 糖 尿 病 > 对 应 州长 一 人 
<021**，1940 一 1950 年 生 ， 男 ， 糖 尿 病 > 可 以 对 应 多 人 


2) 差分 隐私 方法 

差分 隐私 方法 是 指 对 保护 数据 集 添加 随机 噪声 而 构成 新 数据 集 ， 使 得 攻击 者 无 法 通过 已 知 
内 容 推出 原 数据 集 和 新 数据 集 的 差异 ， 从 而 保护 数据 隐私 。 

目前 ， 隐 私 保护 的 常见 技术 措施 有 抑制 、 泛 化 、 置 换 、 扰 动 、 裁 剪 等 。 其 中 ， 抑 制 是 通过 
将 数据 置 空 的 方式 限制 数据 发 布 ; 泛 化 是 通过 降低 数据 精度 来 提供 匿名 的 方法 ， 置 换 方法 改变 
数据 的 属 主 ; 扰动 是 在 数据 发 布 时 添加 一 定 的 噪声 ， 包 括 数据 增删 、 变 换 等 ， 使 攻击 者 无 法 区 
分 真实 数据 和 噪声 数据 ， 从 而 对 攻击 者 造成 干扰 ; 裁剪 是 将 敏感 数据 分 开发 布 。 

除 此 之 外 ， 密 码 学 技术 也 用 于 实现 隐私 保护 。 利 用 加 密 技术 阻止 非法 用 户 对 隐私 数据 的 未 
授权 访问 和 滥用 。 


15.8.2 ”隐私 保护 技术 应 用 


根据 《信息 安全 技术 个 人 信息 安全 规范 》， 个 人 信息 是 指 以 电子 或 者 其 他 方式 记录 的 能 
够 单独 或 者 与 其 他 信息 结合 识别 特定 自然 人 身份 或 者 反映 特定 自然 人 活动 情况 的 各 种 信息 。 个 
人 信息 主要 包括 姓名 、 出 生日 期 、 身 份 证 件 号 码 、 个 人 生物 识别 信息 、 住 址 、 通 信 联 系 方式 、 
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通信 记录 和 内 容 、 账 号 密码 、 财 产 信息 、 征 信 信 息 、 行 踪 轨 迹 、 住 宿 信息 、 健 康生 理 信息 、 交 
易 信 息 等 。 目 前 ， 个 人 信息 面临 非法 收集 、 浊 用、 泄露 等 严重 的 安全 威胁 问题 。 个 人 信息 隐私 
保护 成 为 重要 的 网 络 安全 需求 ， 相 关 的 隐私 保护 技术 广泛 地 应 用 于 个 人 信息 保护 中 。 常 见 的 个 
人 信息 保护 的 应 用 场景 如 下 。 


1. 匿名 化 处 理 个 人 信息 


对 个 人 信息 采用 匿名 化 处 理 , 使 得 个 人 信息 主体 无 法 被 识别 , 且 处 理 后 的 信息 不 能 被 复原 。 
例如 ， 将 个 人 信息 的 姓名 和 身份 证 号 码 更 换 为 星 号 表示 。 


2. 对 个 人 信息 去 标识 化 处 理 


对 个 人 信息 的 主体 标识 采用 假名 、 加 密 、Hash 函数 等 置换 处 理 , 使 其 在 不 借助 额外 信息 的 
情况 下 ， 无 法 识别 个 人 信息 主体 。 例 如 ， 利 用 Hash 函数 处 理 身份 证 号 码 ， 使 身份 证 号 码 的 杂 
凑 值 蔡 换 原 身份 证 号 码 ， 从 而 避免 泄露 身份 证 号 码 信息 。 

隐私 保护 技术 除了 用 于 个 人 信息 保护 之 外 ， 还 可 以 用 于 保护 网 络 信息 系统 重要 的 敏感 数 
据 ， 例 如 路 由 器 配置 文件 、 系 统 口令 文件 。 操 作 系统 、 数 据 库 等 用 户口 令 常 用 Hash 函数 处 理 
后 再 保存 ， 以 防止 泄露 。 


15.9 网 络 安全 前 沿 技术 发 展 动向 


网 络 安全 新 兴 技 术 不 断 涌现 ， 本 节 主 要 阐述 网 络 威胁 情报 服务 、 域 名 服务 安全 保障 、 同 态 
加 密 技 术 等 前 沿 性 网 络 安全 科技 和 应 用 。 


15.9.1 网络 威胁 情报 服务 


网 络 威胁 情报 是 指 有 关 网 络 信息 系统 遭受 安全 威胁 的 信息 ， 主 要 包括 安全 漏洞 、 攻 击 来 源 
全 地 址 、 恶 意 邮 箱 、 恶 意 域名 、 攻 击 工具 等 。 目 前 ， 国 内 外 厂商 及 安全 机 构 都 不 同 程度 地 提供 
网 络 威胁 情报 服务 。 

中 国 反 网 络 病毒 联盟 (ANVA) 主持 并 建设 了 网 络 安全 威胁 信息 共享 平台 ， 以 方便 企业 共 
享 威胁 信息 ， 如 图 15-20 所 示 。 

该 平台 汇总 基础 电信 运营 企业 、 网 络 安全 企业 等 各 渠道 提供 的 恶意 程序 、 恶 意 地 址 、 恶 意 
手机 号 、 恶 意 邮 箱 等 网 络 安全 威胁 信息 数据 。 除 此 之 外 ， 网 络 安全 厂商 提供 开源 社区 监控 、 
EXP/POC 社区 监控 、 漏 洞 提交 平台 监控 等 网 络 安全 威胁 情报 服务 。 其 中 , 开源 社区 监控 是 利用 
关键 字 自 动 监控 开源 社区 代码 库 中 的 敏感 数据 ; EXP/POC 社区 监控 通常 是 监控 国内 外 各 大 安全 
社区 ， 如 Exploit-db、Seebug、0day 等 ， 以 对 用 户 系统 常用 软件 的 EXP/POC 的 漏洞 及 时 预警 ， 
及 时 发 现 安全 风险 ; 漏洞 提交 平台 监控 国内 外 主流 漏洞 提交 平台 ， 如 CVE、 国 家 漏洞 库 、 补 天 
漏洞 响应 平台 、 漏 洞 盒子 等 发 布 的 漏洞 信息 ， 给 用 户 传递 最 新 的 热点 漏洞 和 防护 技术 。 


国 31s 项 。 信息 安全 工程 师 教程 (第 2 版) 


人 massrhaaHsF8 SS EF 


图 15-20 网 络 安全 威胁 信息 共享 平台 示意 图 
15.9.2 ”域名 服务 安全 保障 


域名 系统 DNS) 是 逐 级 授权 的 分 布 式 数据 查询 系统 ， 主 要 完成 域名 到 人 P 地 址 的 翻译 转 
换 功 能 。 域 名 服务 体系 包括 提供 域名 服务 的 所 有 域名 系统 ， 分 为 两 大 部 分 、 四 个 环节 ， 即 递归 
域名 服务 系统 ， 以 及 由 根 域名 服务 系统 、 顶 级 域名 服务 系统 和 其 他 各 级 域名 服务 系统 组 成 的 权 
威 域名 解析 服务 体系 ， 如 图 15-21 所 示 。 


2. 请 求 wwwiialcn 的 地 址 
3. 指 向 cn 服务 器 的 参考 信息 


4 请 求 wwwiiee.cn 的 地 址 
5. 指 向 ra.cn 服 务 器 的 参考 信息 


6 请 求 wwwkessicn 的 地 址 
7.www 基 本 cn 的 中 地 址 - 


8. 回 答 wwwjsacn 
全 地 址 各 4 于 昌 


图 15-21 域名 服务 体系 的 构成 及 工作 机 制 示意 图 
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域名 服务 体系 中 ， 根 域名 服务 系统 由 ICANN 授权 的 十 三 家 全 球 专业 域名 管理 机 构 提 供 运 
营 支 持 ， 顶 级 域名 服务 系统 由 ICANN 签约 的 商业 机 构 或 各 国政 府 授权 的 科研 管理 机 构 负责 运 
行 维护 。 二 级 及 二 级 以 下 权威 域名 服务 器 分 散在 域名 持 有 者 手中 ， 由 政府 、 企 事业 单位 、 商 业 
网 站 、 终 端 网 民 自我 运行 或 托管 在 第 三 方 。 递 归 域名 服务 器 一 般 由 各 网 络 接 入 机 构 提 供 。 

域名 系统 是 网 络 空间 的 中 枢 神经 系统 ， 其 安全 性 影响 范围 大 。 某 公司 曾 因 域 名 安全 问题 而 
暂停 搜索 服务 。 域 名 服务 的 常见 安全 风险 站 述 如 下 

(1) 域名 信息 自 改 。 域 名 解析 系统 与 域名 注册 、WHOIS 等 系统 相关 ， 任 一 环节 的 漏洞 都 
可 能 被 黑客 利用 ， 导 致 域名 解析 数据 被 算 改 。 

(2) 域名 解析 配置 错误 。 权威 域名 解析 服务 的 主 服务 器 或 辅 服务 器 如 配置 不 当 ， 会 造成 权 
威 解析 服务 故障 。 

(3) 域名 动 持 。 黑 客 通过 各 种 攻击 手段 控制 了 域名 管理 密码 和 域名 管理 邮箱 ， 然 后 将 该 域 
名 的 NS 记录 指向 黑客 可 以 控制 的 服务 器 。 

(4) 域名 软件 安全 漏洞 。 域 名 服务 系统 软件 的 漏洞 导致 域名 服务 受 损 。 

DNS 域名 服务 系统 是 网 络 正 常 运行 的 基础 保障 。 针 对 DNS 域名 的 安全 问题 。 国 内 外 安全 
厂商 及 DNS 服务 机 构 提 出 了 安全 解决 方案 。 其 中 ， 互 联网 域名 系统 北京 市 工程 研究 中 心 有 限 
公司 提出 了 ZDNS Cloud 解决 方案 ， 该 方案 提供 DNS 托管 服务 、DNS 灾 备 服务 、 流 量 管理 服 
务 和 抵抗 大 规模 DDoS 攻击 和 DNS 劫持 安全 服务 。 绿 盟 科技 发 布 了 DNS 域名 安全 防护 产品 。 
威 瑞 信 (VeriSign) 公司 推出 威 瑞 信 可 管理 型 DNS 服务 。 

针对 DNS 严重 的 协议 安全 漏洞 ，IETF 提出 了 DNSSEC 安全 扩展 协议 (DNS Security 
Extensions) 方案 ， 为 DNS 解析 服务 提供 数据 源 身份 认证 和 数据 完整 性 验证 。 


15.9.3” 同 态 加 密 技术 
同 态 加 密 是 指 一 种 加 密 函 数 ， 对 明文 的 加 法 和 乘法 运算 再 加 密 ， 与 加 密 后 对 密 文 进行 相应 


的 运算 ， 结 果 是 等 价 的 。 具 有 同 态 性 质 的 加 密 函 数 是 指 两 个 明文 a、b 满足 以 下 等 式 条 件 的 加 
密 函 数 : 


Dec[En(a)® En(b)]=a@Bb 

其 中 ，En 是 加 密 运算 ，Dec 是 解密 运算 ， 四 、@ 分 别 对 应 明文 和 密 文 域 上 的 运算 。 当 四 代表 
加 法 时 ， 称 该 加 密 为 加 同 态 加 密 。 当 @ 代表 乘法 时 ， 称 该 加 密 为 乘 同 态 加 密 。 全 同 态 加 密 指 同 
时 满足 加 同 态 和 乘 同 态 性 质 ， 可 以 进行 任意 多 次 加 和 乘 运算 的 加 密 函 数 。 

2009 年 ，IBM 的 研究 人 员 Gentry 设计 了 一 个 真正 的 全 同 态 加 密 体制 ， 即 可 以 在 不 解密 的 
条 件 下 对 加 密 数 据 进行 任何 可 以 在 明文 上 进行 的 运算 ， 从 而 使 得 对 加 密 信 息 仍 能 进行 深入 和 无 
限 的 分 析 ， 而 不 会 影响 其 保密 性 。 利 用 全 同 态 加 密 性 质 ， 可 以 委托 不 信任 的 第 三 方 对 数据 进行 
处 理 ， 而 不 泄露 信息 。 同 态 加 密 技术 允许 将 敏感 的 信息 储存 在 远程 服务 器 里 ， 既 避免 从 本 地 的 
主机 端 发 生 汇 密 ， 又 依然 保证 了 信息 的 使 用 和 搜索 。 
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15.10 “本章 小 结 


本 章 介 绍 了 入 侵 阻 断 、 软 件 白 名 单 、 网 络 流量 清洗 、 可 信 计 算 、 数 字 水 印 、 网 络 攻击 陷阱 、 
入 侵 容忍 及 系统 生存 、 隐 私 保护 等 主动 性 安全 保护 技术 ， 同 时 举例 说 明了 这 些 新 技术 在 实际 中 
的 应 用 。 随 着 网 络 环境 和 网 络 攻击 的 变化 ， 新 的 网 络 安全 技术 还 会 不 断 涌现 ， 本 章 也 对 网 络 安 
全 前 沿 技术 进行 了 曾 述 。 


辣 第 16 章 网 络 安 全 风险 评估 莉 
技术 原理 与 应 用 


16.1 网 络 安全 风险 评估 概述 


网 络 安全 风险 评估 是 评价 网 络 信息 系统 遭受 潜在 的 安全 威胁 所 产生 的 影响 。 本 节 主 要 闸 
述 网 络 安全 风险 评估 的 概念 、 网 络 安全 风险 评估 的 要 素 、 网 络 安全 风险 评估 模式 。 


16.1.1 网 络 安全 风险 评估 概念 


网 络 安全 风险 ， 是 指 由 于 网 络 系统 所 存在 的 脆弱 性 ， 因 人 为 或 自然 的 威胁 导致 安全 事件 
发 生 所 造成 的 可 能 性 影响 。 网 络 安全 风险 评估 (简称 “网 络 风险 评估 ”) 就 是 指 依据 有 关 信 息 
安全 技术 和 管理 标准 ， 对 网 络 系统 的 保密 性 、 完 整 性 、 可 控 性 和 可 用 性 等 安全 属性 进行 科学 
评价 的 过 程 ， 评 估 内 容 涉及 网 络 系统 的 脆弱 性 、 网 络 安全 威胁 以 及 脆弱 性 被 威胁 者 利用 后 所 
造成 的 实际 影响 ， 并 根据 安全 事件 发 生 的 可 能 性 影响 大 小 来 确认 网 络 安全 风险 等 级 。 简 单 地 
说 ， 网 络 风险 评估 就 是 评估 威胁 者 利用 网 络 资产 的 脆弱 性 ， 造 成 网 络 资产 损失 的 严重 程度 。 
下 面 举 一 个 例子 来 理解 网 络 风险 评估 的 概念 。 某 公司 的 电子 商务 网 站 因为 存在 RPC DCOM 的 
漏洞 ， 若 遭 到 黑客 入 侵 ， 则 业务 中 断 1 天 ， 其 网 络 风险 评估 的 相关 内 容 如 表 16-1 所 示 。 


表 16-1 网 络 安全 风险 评估 示例 


评估 要 素 具体 实际 参照 
资产 电子 商务 网 站 
安全 威胁 黑客 攻击 
安全 脆弱 性 RPC DCOM 漏洞 
安全 影响 电子 商务 网 站 受到 入 侵 ， 中 断 运行 1 天 


假设 网 站 受到 黑客 攻击 的 概率 为 0.8， 经 济 影响 为 2 万 元 人 民 币 ， 则 该 公司 的 网 站 安全 风 
险 量 化 值 为 1.6 万 元 人 民 币 。 

一 般 来 说 ， 网 络 安全 风险 值 可 以 等 价 为 安全 事件 发 生 的 概率 〈 可 能 性 ) 与 安全 事件 的 损失 
的 乘积 ， 即 RE CE， Ev) 。 其 中 ，R 表示 风险 值 ， 本 表示 安全 事件 发 生 的 可 能 性 大 小 ，E, 表 示 
安全 事件 发 生 后 的 损失 ， 即 安全 影响 。 
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16.1.2 ”网 络 安全 风险 评估 要 素 


网 络 安全 风险 评估 涉及 资产 、 威 胁 、 脆 弱 性 、 安 全 措施 、 风 险 等 各 个 要 素 ， 各 要 素 之 间 
相互 作用 ， 如 图 16-1 所 示 。 资 产 因 为 其 价值 而 受到 威胁 ， 威 胁 者 利用 资产 的 脆弱 性 构成 威 
胁 。 安 全 措施 则 对 资产 进行 保护 ， 修 补 资产 的 脆弱 性 ， 从 而 降低 资产 的 风险 。 


图 16-1 网 络 安 全 风险 评估 各 个 要 素 相互 作用 示意 图 


16.1.3 网络 安全 风险 评估 模式 


根据 评估 方 与 被 评估 方 的 关系 以 及 网 络 资产 的 所 属 关系 ， 风 险 评估 模式 有 自 评估 、 检 
查 评估 与 委托 评估 三 种 类 型 。 


1. 自 评估 
自 评 估 是 网 络 系统 拥有 者 依靠 自身 力量 ， 对 自 有 的 网 络 系统 进行 的 风险 评估 活动 。 
2. 检查 评估 


检查 评估 由 网 络 安全 主管 机 关 或 业务 主管 机 关 发 起 ， 虽 在 依据 已 经 颁布 的 安全 法 规 、 安 
全 标准 或 安全 管理 规定 等 进行 检查 评估 。 


3. 委托 评估 
委托 评估 是 指 网 络 系统 使 用 单位 委托 具有 风险 评估 能 力 的 专业 评估 机 构 实施 的 评估 活动 。 
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16.2 网络 安 全 风险 评估 过 程 


网 络 安 全 风险 评估 工作 涉及 多 个 环节 ， 主 要 包括 网 络 安全 风险 评估 准备 、 资 产 识别 、 威 
胁 识别 、 脆 弱 性 识别 、 已 有 的 网 络 安全 措施 分 析 、 网 络 安全 风险 分 析 、 网 络 安全 风险 处 置 与 
管理 等 ， 如 图 16-2 所 示 。 


风险 评估 准备 
了 Y 了 
资产 识别 威胁 识别 脆弱 性 识别 
一 


风险 是 否 


制定 和 实施 风险 处 理 | 
计划 并 评估 残余 风险 


区 于 二 | 


， 风险 评估 文件 记录 


实施 风险 管理 


图 16-2 网 络 安全 风险 评估 工作 基本 过 程 示 意图 
图 16-2 是 一 个 网 络 风险 评估 工作 的 基本 过 程 ， 相 关 人 员 可 以 根据 不 同 目的 和 环境 ， 简 化 
或 补充 各 步骤 细节 。 
16.2.1 网 络 安全 风险 评估 准备 
网 络 安全 风险 评估 准备 的 首要 工作 是 确定 评估 对 象 和 范围 。 正 式 进行 具体 安全 评估 必须 


首先 进行 网 络 系统 范围 的 界定 ， 要 求 评估 者 明晰 所 需要 评估 的 对 象 。 网 络 评估 范围 的 界定 一 
般 包 括 如 下 内 容 : 
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。 ”网 络 系统 拓扑 结构 ; 

。 ”网 络 通信 协议 ; 

。 ”网 络 地 址 分 配 ; 

。 网 络 设备 ; 

@ 网 络 服务 ; 

。 ”网 上 业务 类 型 与 业务 信息 流程 ; 

。 ”网 络 安全 防范 措施 (防火 墙 、 IDS、 保 安 系 统 等 ) ; 

。 ”网 络 操 作 系 统 ; 

。 ”网 络 相 关 人 员 ; 

。 ”网 络 物理 环境 (如 建筑 、 设 备 位 置 )。 

在 这 个 阶段 ， 最 终 将 生成 评估 文档 《网 络 风险 评估 范围 界定 报告 》， 该 报告 是 后 续 评估 工 
作 的 范围 限定 。 


16.2.2 资产 识别 


资产 识别 包含 “网 络 资产 鉴定 ”和 “网 络 资产 价值 估算 ”两 个 步骤 。 前 者 给 出 评估 所 考 
虑 的 具体 对 象 ， 确 认 网 络 资产 种 类 和 清单 ， 是 整个 评估 工作 的 基础 。 常 见 的 网 络 资产 主要 分 
为 网 络 设备 、 主 机 、 服 务 器 、 应 用 、 数 据 和 文档 资产 等 六 个 方面 。 例 如 ， 网 络 设备 资产 有 交 
换 机 、 路 由 器 、 防 火 墙 等 。 

“网 络 资产 价值 估算 ”是 某 一 具体 资产 在 网 络 系统 中 的 重要 程度 确认 。 组 织 可 以 按照 自己 的 实 
际 情况 ， 将 资产 按 其 对 于 业务 的 重要 性 进行 赋值 ， 得 到 资产 重要 性 等 级 划分 表 ， 如 表 16-2 所 示 。 


表 16-2 资产 重要 性 等 级 及 含义 描述 
描 述 


网 络 安全 风险 评估 中 ， 价 值 估算 不 是 资产 的 物理 实际 经 济 价值 ， 而 是 相对 价值 ， 一 般 是 
以 资产 的 三 个 基本 安全 属性 为 基础 进行 衡量 的 ， 即 保密 性 、 完 整 性 和 可 用 性 。 价 值 估算 的 结 
果 是 由 资产 安全 属性 未 满足 时 ， 对 资产 自身 及 与 其 关联 业务 的 影响 大 小 来 决定 的 。 目 前 ， 国 
家 信息 风险 评估 标准 对 资产 的 保密 性 、 完 整 性 和 可 用 性 赋值 划分 为 五 级 ， 级 别 越 高 表示 资产 
越 重要 。 

表 16-3 给 出 了 一 种 资产 的 保密 性 赋值 参考 ， 按 照 资产 的 保密 性 对 组 织 的 影响 程度 大 小 决 
定 其 数值 。 
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表 16-3 资产 保密 性 赋值 
定 义 

包含 组 织 最 重要 的 秘密 ， 关 系 未 来 发 展 的 前 途 命运 ， 对 组 织 根本 利益 有 着 决定 
性 的 影响 ， 如 果 泄露 会 造成 灾难 性 的 损害 
| 包含 组 织 的 重要 秘密 ， 其 泄露 会 使 组 织 的 安全 和 利益 遭受 严重 损害 
中 等 ”| 组 织 的 一 般 性 秘密 ， 其 泄露 会 使 组 织 的 安全 和 利益 受到 损害 
仅 能 在 组 织 内 部 或 在 组 织 某 一 部 门 内 部 公开 的 信息 ， 向 外 扩散 有 可 能 对 组 织 的 
利益 造成 轻微 损害 
可 对 社会 公开 的 信息 ， 如 公用 的 信息 处 理 设备 和 系统 资源 等 


表 16-4 给 出 了 一 种 资产 的 完整 性 赋值 参考 ， 按 照 资产 的 完整 性 对 组 织 的 影响 程度 大 小 决 
定 其 数值 。 


表 16-4 资产 完整 性 赋值 


标识 定 区 

很 高 完整 性 价值 非常 关键 ， 未 经 授权 的 修改 或 破坏 会 对 组 织造 成 重大 的 或 无 法 接受 
的 影响 ， 对 业务 冲击 重大 ， 并 可 能 造成 严重 的 业务 中 断 ， 难 以 弥补 

高 完整 性 价值 较 高 ， 未 经 授权 的 修改 或 破坏 会 对 组 织造 成 重大 影响 ， 对 业务 冲击 
严重 ， 较 难 弥 补 

中 等 完整 性 价值 中 等 , 未 经 授权 的 修改 或 破坏 会 对 组 织造 成 影响 , 对 业务 冲击 明显 ， 
但 可 以 弥补 

低 完整 性 价值 较 低 ， 未 经 授权 的 修改 或 破坏 会 对 组 织造 成 轻微 影响 ， 对 业务 冲击 
轻微 ， 容 易 弥 补 

很 低 完整 性 价值 非常 低 ， 未 经 授权 的 修改 或 破坏 对 组 织造 成 的 影响 可 以 忽略 ， 对 业 
务 冲 击 可 以 忽略 


表 16-5 给 出 了 一 种 资产 的 可 用 性 赋值 参考 ， 按 照 资产 的 可 用 性 对 组 织 的 影响 程度 大 小 决 
定 其 数值 。 


表 16-5 资产 可 用 性 赋值 


标识 定 

很 高 可 用 性 价值 非常 高 ， 合 法 使 用 者 对 业务 流程 、 信 息 及 信息 系统 的 可 用 度 达到 年 
度 99.9% 以 上 ， 或 系统 不 允许 中 断 

高 可 用 性 价值 较 高 ， 合 法 使 用 者 对 业务 流程 、 信 息 及 信息 系统 的 可 用 度 达 到 每 天 
90% 以 上 ， 或 系统 允许 中 断 时 间 小 于 10min 

中 等 可 用 性 价值 中 等 ， 合 法 使 用 者 对 业务 流程 、 信 息 及 信息 系统 的 可 用 度 在 正常 工 
作 时 间 达 到 70% 以 上 ， 或 系统 允许 中 断 时 间 小 于 30min 

低 可 用 性 价值 较 低 ， 合 法 使 用 者 对 业务 流程 、 信 息 及 信息 系统 的 可 用 度 在 正常 工 
作 时 间 达 到 25% 以 上 ， 或 系统 允许 中 断 时 间 小 于 60min 

很 低 可 用 性 价值 可 以 忽略 ， 合 法 使 用 者 对 业务 流程 、 信 息 及 信息 系统 的 可 用 度 在 正 
常 工 作 时 间 低 于 25% 
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16.2.3 威胁 识别 


威胁 识别 是 对 网 络 资产 有 可 能 受到 的 安全 危害 进行 分 析 ， 一 般 从 威胁 来 源 、 威 胁 途 径 、 
威胁 意图 等 几 个 方面 来 分 析 ， 如 图 16-3 所 示 。 


威胁 识别 |— 


| | 威胁 意图 


一 一 威胁 频率 


图 16-3 网络 威胁 识别 示意 图 


首先 是 标记 出 潜在 的 威胁 源 ， 并 且 形 成 一 份 威胁 列表 ， 列 出 被 评估 的 网 络 系 统 面临 的 潜 
在 威胁 源 。 威 胁 源 按照 其 性 质 一 般 可 分 为 自然 威胁 和 人 为 威胁 ， 其 中 自然 威胁 有 雷电 、 洪 
水 、 地 震 、 火 灾 等 ， 而 人 为 威胁 则 有 盗窃 、 破 坏 、 网 络 攻击 等 。 对 威胁 进行 分 类 的 方式 有 多 
种 ， 针 对 以 上 的 威胁 来 源 ， 可 以 根据 其 表现 形式 对 威胁 进行 分 类 。《 信 息 安 全 技术 信息 安全 
风险 评估 规范 〈 征 求 意见 稿 ) 》 给 出 了 一 种 基于 表现 形式 的 威胁 分 类 方法 ， 如 表 16-6 所 示 。 


种 类 


软 硬 件 故障 


表 16-6 一 种 基于 表现 形式 的 威胁 分 类 

威胁 子 类 

对 业务 实施 或 系统 运行 产生 影响 的 设备 | 设备 硬件 故障 、 传 输 设备 故障 、 存 储 媒体 
硬件 故障 、 通 信 链 路 中 断 、 系 统 本 身 或 软 | 故障 、 系 统 软件 故障 、 应 用 软件 故障 、 数 
件 缺 陷 等 问题 据 库 软件 故障 、 开 发 环境 故障 等 


由 于 信息 系统 依托 的 第 三 方 平 台 或 者 接 | w 一 EN 
口 相关 的 系统 出 现 问题 第 三 方 平 台 故 障 、 第 三 方 接口 故障 


对 信息 系统 正常 运行 造成 影响 的 物理 环 | 断 电 、 静 电 、 灰 尘 、 潮 湿 、 温 度 、 鼠 蚁 虫 
境 问 题 和 自然 灾害 害 、 电 磁 干扰 、 洪 灾 、 火 灾 、 地 震 等 


应 该 执行 而 没有 执行 相应 的 操作 , 或 无 意 i 
执行 了 错误 的 操作 维护 错误 、 操 作 失 误 等 


管理 不 到 位 


恶意 代码 


安全 管理 无 法 落实 或 不 到 位 , 从 而 破坏 信 | 管理 制度 和 策略 不 完善 、 管 理 规程 缺失 、 
息 系统 正常 有 序 运行 职责 不 明确 、 监 督 控 管 机 制 不 健全 等 
故意 在 计算 机 系统 上 执行 恶意 任务 的 程 | 病毒 、 特 洛 伊 木 马 、 蠕 虫 、 陷 门 、 间 谍 软 
序 代码 件 、 窃 听 软 件 等 
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续 表 
种 类 握 还 威 肪 子 类 
通过 采用 一 些 措施 ， 超 越 自己 的 权限 访问 了 | 非 授权 访问 网 络 资源 、 非 授权 访问 系统 
越权 或 滥用 | 本 来 无 权 访问 的 资源 ,或 者 滥用 自己 的 权限 ，| 资源 、 滥 用 权限 非 正常 修改 系统 配置 或 
做 出 破坏 信息 系统 的 行为 数据 、 滥 用 权限 泄露 秘密 信息 等 
网 络 探测 和 信息 采集 、 漏 洞 探测 、 硕 探 
同 统 玫 击 。 | 利用 工具 和 技术 通过 网 络 对 信息 系统 进行 攻 | 《账户 口令 、 权 限 等 ) 、 用 户 身份 
。 击 和 入 侵 造 和 坎 骗 、 用 户 或 业务 数据 的 窃取 和 破 
坏 、 系 统 运行 的 控制 和 破坏 等 
物理 攻击 ”| 通过 物理 的 术 骨 志 成 对 软件 、 硬 件 、 数 所 的 破坏 | 物理 接 角 、 物 理 破坏 、 盗 从 等 
汶 密 信息 港 露 给 不 应 了 解 的 他 人 两 部 信息 浊 韦 、 外 部 信息 浊 吕 和 
非法 修改 信息 ， 破 坏 信息 的 完整 性 使 系统 的 | 笃 改 网 络 配置 信息 、 每 改 系统 配置 信息 、 
自 改 | 算 改 安全 配置 信息 、 每 改 用 户 身份 信息 
息 或 业务 数据 信息 等 
扳 谨 不 承认 收 到 的 信息 和 所 作 的 操作 和 交易 ” ”| 原 发 抵 烙 、 接 收 抵 燥 、 第 三 方 抵 癌 等 
供应 链 问题 和 供应 商 问题 、 第 三 方 运 维 问题 等 
风 如 泊 生 不 | 由 于 信息 未 统 部 轩 在 云 计算 平台 或 者 托管 在 第 
四 三 方 机 房 , 导致 系统 运行 或 者 对 外 服务 中 产生 的 | 数据 外 汇 等 
流量 被 获取 ， 进 而 导致 部 分 敏感 数据 汇 器 
过 度 依 冻 | 由 于 过 度 信 粹 开发 或 者 运 纹 团 从, 导致 业务 系 | 开发 过度 信 闲 、 运 服务 商 过 度 信 坷 、 
统 变更 或 者 运行 ， 对 服务 次 过 度 依赖 云 服务 商 过 度 依赖 等 
在 使 用 云 计算 或 者 其 他 技术 时 ， 数 据 存放 位 
司法 管辖 “| 置 不 可 控 ， 导 致 数据 存在 境外 数据 中 心 ， 数 | 司法 管辖 
据 和 业务 的 司法 管辖 关系 发 生 改 变 
云 计算 平台 数据 无 法 验证 是 否 删除 ， 物 联网 
数据 残留 | 相关 智能 电表 、 智 能 家 电 等 数据 存在 设备 中 | 数据 残留 
或 者 服务 提供 商 处 
事件 管控 能 | 安全 事件 的 感知 能 力 不 足 ， 安 全 事件 发 生 后 | 感知 能 力 不 足 而 应 能 力 不 足 、 技 术 支 
力 不 足 。 “| 的 响应 不 及 时 、 不 到 位 排 缺乏、 缺少 专业 支持 
人 3 
人 人 员 安 全 。 | 违背 人 员 的 可 用 性 、 人 员 误 用 ， 非 法 处 理 数 人 
安全 。 | 党 背 全 的 J 用 性 、 人 和 并用 ， 尖 法 处 型 数 | 所 乏 、 违 规 使 用 设备 、 安 全 意识 不 足 、 
失控 pid 信息 贿赂 、 输 入 伪造 或 措施 数据 、 窍 听 、 
监视 机 制 不 完善 、 网 络 媒体 滥用 
隐私 保护 “| 个 人 用 户 信息 收集 后 ， 保 护 措施 不 到 位 ， 数 | 保护 措施 缺乏 、 无 效 ， 数 据 保护 算法 
不 当 据 保护 算法 不 透明 ， 已 被 黑客 攻破 不 当 
敏感 及 特殊 时 期 天 受到 或 带 有 政治 色彩 的 
恐怖 活动 | 攻击 ， 导 致 信息 战 、 系 统 攻击 、 系 统 渗透 、 en 
系统 算 改 A 
诸如 情报 公司 、 外 国政 府 、 其 他 政府 为 亮 争 | 
行业 间谍 | 优势 、 经 济 效益 而 产生 的 信息 被 窃取 、 个 人 | 信息 被 窃取 、 个 人 隐私 被 入 侵 、 社 会 工 


隐私 被 入 侵 、 社 会 工程 事件 等 问题 


程 事件 
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威胁 途径 是 指 威胁 资产 的 方法 和 过 程 步 又， 威 胁 者 为 了 实现 其 意图 ， 会 使 用 各 种 攻击 方 
法 和 工具 ， 如 计算 机 病毒 、 特 洛 伊 森马、 蠕虫 、 漏 洞 利用 和 嗅 探 程序 。 通 过 各 种 方法 的 组 
合 ， 完 成 威胁 实施 。 图 16-4 是 关于 口令 威胁 途径 的 分 析 。 


网 络 监听 


Da 
Cs 


口令 猜测 


系统 非法 访问 


图 16-4 口令 威胁 途径 示意 图 


威胁 效果 是 指 威胁 成 功 后 ， 给 网 络 系统 造成 的 影响 。 一 般 来 说 ， 威 胁 效 果 抽 象 为 三 种 : 非 
法 访问 、 欺 骗 、 拒 绝 服 务 。 例 如 最 早 的 拒绝 服务 是 “电子 邮件 炸弹 ”， 它 能 使 用 户 在 很 短 的 时 
间 内 收 到 大 量 电 子 邮 件 ， 使 用 户 系统 不 能 处 理 正常 业务 ， 严 重 时 会 使 系统 崩 江 、 网 络 瘫痪 。 

威胁 意图 是 指 威胁 主体 实施 威胁 的 目的 。 根 据 威胁 者 的 身份 ， 威 胁 意图 可 以 分 为 挑战 、 
情报 信息 获取 、 恺 怖 主义 、 经 济 利益 和 报复 。 

威胁 频率 是 指出 现 威胁 活动 的 可 能 性 。 一 般 通 过 已 经 发 生 的 网 络 安全 事件 、 行 业 领 域 统 
计 报 告 和 有 关 的 监测 统计 数据 来 判断 出 现 威胁 活动 的 频繁 程度 。 例 如 ， 通 过 IDS 和 安全 日 志 分 
析 ， 可 以 掌握 某 些 威胁 活动 出 现 的 可 能 性 。 

可 以 对 威胁 出 现 的 频率 进行 等 级 化 处 理 ， 不 同等 级 分 别 代表 威胁 出 现 的 频率 的 高 低 。 等 
级 数值 越 大 ， 威 胁 出 现 的 频率 越 高 。《 信 息 安全 技术 信息 安全 风险 评估 规范 〈 征 求 意 见 稿 ) 》 
给 出 了 一 种 威胁 出 现 频率 的 赋值 方法 ， 如 表 16-7 所 示 。 


表 16-7 威胁 频率 赋值 
定义 

出 现 的 频率 很 高 或 过 1 次 / 周 ) ; 或 在 大 多 数 情况 下 几乎 不 可 避免 ; 或 可 以 证 实 
经 常 发 生 过 
出 现 的 频率 较 高 (或 宇 1 次 /月 ); 或 在 大 多 数 情 况 下 很 有 可 能 会 发 生 ; 或 可 以 证 
实 多 次 发 生 过 
出 现 的 频率 中 等 或 > 1 次 /半年 ); 或 在 某 种 情况 下 可 能 会 发 生 ， 或 被 证 实 曾经 
发 生 过 
出 现 的 频率 较 小 ; 或 一 般 不 太 可 能 发 生 ， 或 没有 被 证 实 发 生 过 
威胁 几乎 不 可 能 发 生 ， 仅 可 能 在 非常 罕见 和 例外 的 情况 下 发 生 


威胁 的 可 能 性 赋值 通过 结合 威胁 发 生 的 来 源 、 威 胁 所 需要 的 能 力 、 威 胁 出 现 的 频率 等 综 
合 分 析 而 得 出 判定 。 表 16-8 提供 了 一 种 威胁 可 能 性 的 赋值 方法 。 
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表 16-8 威胁 可 能 性 赋值 


威胁 成 功 发 生 的 可 能 性 极 大 
威胁 成 功 发 生 的 可 能 性 较 大 
威胁 成 功 发 生 的 可 能 性 较 小 
威胁 成 功 发 生 的 可 能 性 极 小 
威胁 成 功 发 生 的 可 能 性 几乎 为 零 


16.2.4 ”脆弱 性 识别 


脆弱 性 识别 是 指 通过 各 种 测试 方法 ， 获 得 网 络 资产 中 所 存在 的 缺陷 清单 ， 这 些 缺 陷 会 导 
致 对 信息 资产 的 非 授 权 访问 、 泄 密 、 失 控 、 破 坏 或 不 可 用 、 绕 过 已 有 的 安全 机 制 ， 缺 陷 的 存 
在 将 会 危及 网 络 资产 的 安全 。 

一 般 来 说 ， 脆 弱 性 识别 以 资产 为 核心 ， 针 对 每 一 项 需要 保护 的 资产 ， 识 别 可 能 被 威胁 利用 的 弱 
点 ， 并 对 脆弱 性 的 严重 程度 进行 评估 。 脆 弱 性 识别 的 依据 是 网 络 安全 法 律 法 规 政策 、 国 内 外 网 络 信 
息 安 全 标准 以 及 行业 领域 内 的 网 络 安全 要 求 。 网 络 安全 法 律 法 规 政策 用 于 评估 资产 所 在 地 的 法 律 合 
规 性 风险 。《 商 用 密码 管理 条 例 》 规 定 国家 对 商用 密码 产品 的 科研 、 生 产 、 销 售 和 使 用 实行 专 控 管 
理 。 而 欧盟 《通用 数据 保护 条 例 》 (General Data Protection Regulation，GDPR ) 要 求 任何 收集 、 
传输 、 保 留 或 处 理 涉及 欧盟 所 有 成 员 国内 的 个 人 信息 的 机 构 组 织 受 该 条 例 的 约束 。 国 内 外 网 络 信息 
安全 标准 则 用 于 从 国际 、 国 内 两 个 维度 评估 资产 的 风险 状况 。 例 如 ,OWASP Top 10 可 以 作为 Web 
应 用 程序 的 漏洞 评估 参考 标准 ; CVE、CWE、CNNVD、CNVD 等 用 作 评 估 资 产 存在 的 漏洞 情况 。 
PCI DSS (Payment Card Industry Data Security Standards ) 用 于 国际 上 评估 支付 卡 工业 数据 安全 。 

对 不 同 环 境 中 的 相同 弱点 ， 其 脆弱 性 的 严重 程度 是 不 同 的 ， 评 估 工 作 人 员 应 从 组 织 安全 
策略 的 角度 考虑 ， 判 断 资产 的 脆弱 性 及 其 严重 程度 。 目 前 ， 国 际 上 通用 安全 漏洞 评分 参考 标 
准 是 CVSS (Common Vulnerability Scoring System) ; CWE Top 25 可 以 评估 软件 漏洞 安全 等 
级 。 脆 弱 性 识别 所 采用 的 方法 主要 有 漏洞 扫描 、 人 工 检查 、 问 卷 调查 、 安 全 访谈 和 渗透 测试 
等 。 我 国 《 信 息 安全 技术 信息 安全 风险 评估 规范 〈 征 求 意见 稿 ) 》 给 出 了 一 种 脆弱 性 严重 程 
度 的 赋值 方法 ， 如 表 16-9 所 示 。 


表 16-9 脆弱 性 严重 程度 赋值 

等 级 | 标识 定 :9 

5 | 很 高 | 脆弱 性 可 利用 性 很 高 ， 如 果 被 威胁 利用 ， 将 对 业务 和 资产 造成 完全 损害 

4 | 高 脆弱 性 可 利用 性 高 或 很 高 ， 如 果 被 威胁 利用 ， 将 对 业务 和 资产 造成 重大 损害 

3 ”| 中 等 “| 脆弱 性 可 利用 性 较 高 、 高 或 很 高 ， 如 果 被 威胁 利用 ， 将 对 业务 和 资产 造成 一 般 损害 
脆弱 性 可 利用 性 一 般 、 较 高 、 高 或 很 高 ， 如 果 被 威胁 利用 ， 将 对 业务 和 资产 造成 较 
小 损害 
脆弱 性 可 利用 性 低 、 一 般 、 较 高 、 高 或 很 高 ， 如 果 被 威胁 利用 ， 将 对 业务 和 资产 造 
成 的 损害 可 以 忽略 
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脆弱 性 评估 工作 又 可 分 为 技术 脆弱 性 评估 和 管理 脆弱 性 评估 。 

。 ”技术 脆弱 性 评估 。 技 术 脆 弱 性 评估 主要 从 现 有 安全 技术 措施 的 合理 性 和 有 效 性 方面 进 
行 评估 。 

。 ”管理 脆弱 性 评估 。 管 理 脆弱 性 评估 从 网 络 信息 安全 管理 上 分 析 评 估 存 在 的 安全 弱点 ， 
并 标识 其 严重 程度 。 安全 管理 脆弱 性 评估 主要 是 指 对 组 织 结构 、 人 员 配 备 、 安 全 意识 、 
教育 培训 、 安 全 操作 、 设 备 管理 、 应 急 响 应 、 安 全 制度 等 方面 进行 合理 性 、 必 要 性 评 
价 ， 其 目的 在 于 确认 安全 策略 的 执行 情况 。 


16.2.5 已 有 安全 措施 确认 


对 评估 对 象 已 采取 的 各 种 预防 性 和 保护 性 安全 措施 的 有 效 性 进行 确认 ， 评 估 安 全 措施 能 
否 防止 脆弱 性 被 利用 ， 能 否 抵御 已 确认 的 安全 威胁 。 


16.2.6 ”网 络 安 全 风险 分 析 


网 络 安全 


风险 分 析 是 指 在 资产 评估 、 威 胁 评估 、 脆 弱 性 评估 、 安 全 管理 评估 、 安 全 影响 评 


估 的 基础 上 ， 综 合 利用 定性 和 定量 的 分 析 方 法 ， 选 择 适 当 的 风险 计算 方法 或 工具 确定 风险 的 大 
小 与 风险 等 级 ， 即 对 网 络 系统 安全 管理 范围 内 的 每 一 个 网 络 资产 因 遭 受 泄露 、 修 改 、 不 可 用 和 
破坏 所 带 来 的 任何 影响 做 出 一 个 风险 测量 的 列表 ， 以 便 识别 与 选择 适当 和 正确 的 安全 控制 方 
式 。 通 过 分 析 所 评估 的 数据 ， 进 行 风险 值 计算 。 网 络 安全 风险 分 析 的 过 程 如 图 16-5 所 示 。 


CC in | 成 胁 出 现 的 频率 ee 
安全 事件 的 可 能 性 
CC 用 弹性 识别 二 脆弱 性 的 严重 程度 


= | 安全 事件 的 损失 
CC 次 产 识别 站 资产 价值 


图 16-5 网 络 安全 风险 分 析 示 意图 


1. 网 络 安全 风险 分 析 步 骤 
网 络 安全 风险 分 析 的 主要 步骤 如 下 


步骤 一 ， 
步骤 二 ， 
步骤 三 ， 
步骤 四 ， 
步骤 五 ， 
步骤 六 ， 


对 资产 进行 识别 ， 并 对 资产 的 价值 进行 赋值 。 

对 威胁 进行 识别 ， 描 述 威胁 的 属性 ， 并 对 威胁 出 现 的 频率 赋值 。 

对 脆弱 性 进行 识别 ， 并 对 具体 资产 的 脆弱 性 的 严重 程度 赋值 。 

根据 威胁 及 威胁 利用 脆弱 性 的 难 易 程度 判断 安全 事件 发 生 的 可 能 性 。 

根据 脆弱 性 的 严重 程度 及 安全 事件 所 作用 的 资产 的 价值 计算 安全 事件 的 损失 。 
根据 安全 事件 发 生 的 可 能 性 以 及 安全 事件 出 现 后 的 损失 ， 计 算 安 全 事件 一 旦 发 


生 对 组 织 的 影响 ， 即 网 络 安全 风险 值 。 其 中 ， 安 全 事件 损失 是 指 确定 已 经 鉴定 的 资产 受到 损 
害 所 带 来 的 影响 。 一 般 情况 下 ， 其 影响 主要 从 以 下 几 个 方面 来 考虑 : 


第 16 章 网 络 安全 风险 评估 技术 原理 和 应 用 “ 通 331 荐 


。 ”违反 了 有 关 法 律 或 规章 制度 ; 

。 ”对 法 律 实施 造成 了 负面 影响 ; 

。 ”违反 社会 公共 准则 ， 影 响 公 共 秩 序 ; 
。 ”危害 公共 安全 ; 

。 侵犯 商业 机 密 ; 

。 ”影响 业务 运行 ; 

。 ”信誉 、 声 誉 损失 ; 

。 ”侵犯 个 人 隐私 ; 

。 ”人身 伤 害 ; 

。 ”经 济 损失 。 


2. 网 络 安全 风险 分 析 方 法 


网 络 安全 风险 值 的 计算 方法 主要 有 定性 计算 方法 、 定 量 计算 方法 、 定 性 和 定量 综合 计算 方法 。 

1) 定性 计算 方法 

定性 计算 方法 是 将 风险 评估 中 的 资产 、 威 胁 、 脆 弱 性 等 各 要 素 的 相关 属性 进行 主观 评估 ， 然 后 
再 给 出 风险 计算 结果 。 例 如 ， 资 产 的 保密 性 赋值 评估 为 : 很 高 、 高 、 中 等 、 低 、 很 低 ; 威胁 的 出 现 
频率 赋值 评估 为 : 很 高 、 高 、 中 等 、 低 、 很 低 ， 脆弱 性 的 严重 程度 赋值 评估 为 : 很 高 、 高 、 中 等 、 
低 、 很 低 ; 定性 计算 方法 给 出 的 风险 分 析 结果 是 : 无 关 紧 要 、 可 接受 、 待 观察 、 不 可 接受 。 

2) 定量 计算 方法 

定量 计算 方法 是 将 资产 、 威 胁 、 脆 弱 性 等 量化 为 数据 ， 然 后 再 进行 风险 的 量化 计算 ， 通 常 以 经 
济 损失 、 影 响 范围 大 小 等 进行 呈现 。 但 是 实际 上 资产 、 威 胁 、 脆 弱 性 、 安 全 事件 损失 难以 用 数据 准 
确 地 量化 ， 因 而 完全 的 定量 计算 方法 不 可 行 。 定 量 计算 方法 的 输出 结果 是 一 个 风险 数值 。 

3) 综合 计算 方法 

综合 计算 方法 结合 定性 和 定量 方法 ， 将 风险 评估 的 资产 、 威 胁 、 脆 弱 性 、 安 全 事件 损失 
等 各 要 素 进行 量化 赋值 ， 然 后 选用 合适 的 计算 方法 进行 风险 计算 。 例 如 ， 脆 弱 性 的 严重 程度 
量化 赋值 评估 为 : 5 (很 高 )、4 (高 )、3 (中 等 )、2 ( 低 )、1 (很 低 )。 综 合计 算 方 法 的 输出 
结果 是 一 个 风险 数值 ， 同 时 给 出 相应 的 定性 结论 。 


3. 网 络 安全 风险 计算 方法 


风险 计算 一 般 有 相 乘法 或 矩阵 法 。 

1) 相 乘法 

相 乘法 是 将 安全 事件 发 生 的 可 能 性 与 安全 事件 的 损失 进行 相 乘 运算 得 到 风险 值 。 参 照 《 信 
息 安全 技术 “信息 安全 风险 评估 规范 》 以 资产 Al 为 例 使 用 相 乘 法 来 计算 出 网 络 安全 风险 值 。 
约定 使 用 计算 公式 == f(x,y)=Vxy ， 并 对 = 的 计算 值 进 行 四 舍 五 入 取 整 得 到 最 终 值 。 基 于 相 
乘法 计算 风险 值 的 过 程 描述 如 下 。 
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(1) 假设 资产 Al 的 风险 值 计算 输入 信息 ， 具 体 如 下 : 

资产 价值 : Al=4。 

威胁 发 生 频率 : T1=1。 

脆弱 性 严重 程度 : ”脆弱 性 V1=3。 

(2) 使 用 相 乘 法 计算 的 过 程 ， 具 体 如 下 : 

步骤 一 ， 计 算 安全 事件 发 生 的 可 能 性 。 

输入 : 威胁 发 生 频率 : TI=1， 脆 弱 性 严重 程度 :脆弱 性 V1=3。 

输出 : 安全 事件 发 生 的 可 能 性 == f(x, y)=VIx3=V3。 

步骤 二 ， 计 算 安全 事件 的 损失 。 

输入 : 资产 价值 : Al=4， 脆 弱 性 严重 程度 :脆弱 性 V1=3。 

输出 安全 事件 的 损失 = = f(x, y)=V4x3=VI2 。 

步骤 三 ， 计 算 安 全 风险 值 。 

输入 : 安全 事件 发 生 的 可 能 性 V3 ， 安 全 事件 的 损失 V12 。 

输出 ， 安 全 事件 风险 值 YV3xVI2 =V36 =6。 

2) 矩阵 法 

矩阵 法 是 指 通过 构造 一 个 二 维 矩 阵 ， 形 成 安全 事件 发 生 的 可 能 性 与 安全 事件 的 损失 之 间 
的 二 维 关系 。 参照 《 信 息 安全 技术 信息 安全 风险 评估 规范 》， 以 资产 Al 为 例 使 用 矩阵 法 来 计 
算出 网 络 安全 风险 值 。 基 于 矩阵 法 计算 风险 值 的 过 程 描述 如 下 。 

(1) 假设 资产 Al 的 风险 值 计算 输入 信息 ， 具 体 如 下 : 

资产 价值 。 Al=2。 

威胁 发 和 频率: T1=2。 

脆弱 性 严重 程度 脆弱 性 V1=2。 

(2) 使 用 矩阵 法 计算 的 过 程 ， 具 体 如 下 : 

步骤 一 ， 计 算 安全 事件 发 生 的 可 能 性 。 

构建 安全 事件 发 生 可 能 性 矩阵 ， 如 表 16-10 所 示 。 


表 16-10 ”安全 事件 发 生 可 能 性 矩阵 


根据 威胁 发 生 频 率 值 和 脆弱 性 严重 程度 值 在 第 阵 中 进行 对 照 ， 确 定安 全 事件 发 生 的 可 能 性 值 =6。 
步骤 二 ， 安 全 事件 发 生 可 能 性 等 级 划分 。 
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建立 安全 事件 发 生 可 能 性 等 级 划分 表 ， 对 计算 得 到 的 安全 事件 发 生 可 能 性 进行 等 级 划 
分 ， 如 表 16-11 所 示 ， 对 照 确定 安全 事件 发 生 可 能 性 等 级 值 =2。 


表 16-11 安全 事件 发 生 可 能 性 等 级 划分 


ER 


发 生 可 能 性 等 级 


步骤 三 ， 计 算 安全 事件 的 损失 。 
构建 安全 事件 损失 矩阵 ， 如 表 16-12 所 示 。 


表 16-12 ”安全 事件 损失 矩阵 


根据 资产 价值 和 脆弱 性 严重 程度 值 在 矩阵 中 进行 对 照 ， 确 定安 全 事件 损失 值 =5。 

步骤 四 ， 划 分 安全 事件 损失 等 级 。 

建立 安全 事件 损失 等 级 划分 表 ， 对 计算 得 到 的 安全 事件 损失 值 进 行 等 级 划分 ， 如 表 16-13 
所 示 ， 对 照 确定 安全 事件 损失 等 级 值 =1。 


表 16-13 安全 事件 损失 等 级 划分 
安全 事件 损失 值 21~25 
安全 事件 损失 竺 及 | 1 | 2 | 3 | 4 | ; 
步 又 五 ， 计 算 风险 值 。 
首先 构建 风险 矩阵 ， 如 表 16-14 所 示 。 然 后 ， 根 据 上 面 已 经 计算 出 的 结果 ， 即 安全 事件 发 生 
可 能 性 等 级 值 -2， 安 全 事件 损失 等 级 值 =1， 对 照 风险 矩阵 表 查 询 ， 确 定安 全 事件 风险 值 -6。 


表 16-14 风险 和 矩阵 


发 生 可 能 性 等 级 
损失 等 级 
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步骤 六 ， 结 果 判 定 。 
首先 建立 风险 等 级 划分 表 ， 如 表 16-15 所 示 。 然 后 ， 对 照 风 险 等 级 划分 表 查 询 ， 确 定 风险 
等 级 为 2。 


表 16-15 风险 等 级 划分 


风险 值 
风险 等 级 


步骤 七 ， 输 出 。 
根据 计算 得 出 资产 Al 的 风险 值 =6， 风险 等 级 为 2。 


16.2.7 ”网 络 安全 风险 处 置 与 管理 


针对 网 络 系统 所 存在 的 各 种 风险 ， 给 出 具体 的 风险 控制 建议 ， 其 目标 在 于 降低 网 络 系统 
的 安全 风险 。 

对 不 可 接受 的 相关 风险 ， 应 根据 导致 该 风险 的 脆弱 性 制定 风险 处 理 计 划 。 风 险 处 理 计划 
中 明确 应 采取 的 弥补 弱点 的 安全 措施 、 预 期 效果 、 实 施 条 件 、 进 度 安排 、 责 任 部 门 等 。 安 全 
措施 的 选择 从 管理 与 技术 两 个 方面 考虑 。 安 全 措施 的 选择 与 实施 参照 信息 安全 的 相关 标准 进 
行 。 目 前 ， 网 络 安全 风险 管理 的 控制 措施 主要 有 以 下 十 大 类 : 

。 ”制订 明确 安全 策略 ; 

。 ”建立 安全 组 织 ; 

。 ”实施 网 络 资产 分 类 控制 ; 

。 ”加 强人 员 安 全 管理 ; 

。 ”保证 物理 实体 和 环境 安全 ; 

。 ”加 强 安全 通信 运行 ; 

。 ”采取 访问 控制 机 制 ; 

。 ”进行 安全 系统 开发 与 维护 ; 

。 ”保证 业务 持续 运行 ; 

。 ”遵循 法 律 法 规 、 安 全 目标 一 致 性 检查 。 

为 确保 安全 措施 的 有 效 性 ， 一 般 要 进行 再 评估 ， 以 判断 实施 安全 措施 后 的 风险 是 否 已 经 
降低 到 可 接受 的 水 平 。 残 余 风险 的 评估 可 按照 风险 评估 流程 实施 ， 也 可 做 适当 裁减 。 安 全 措 
施 的 实施 是 以 减少 脆弱 性 或 降低 安全 事件 发 生 可 能 性 为 目标 的 ， 因 此 ， 残 余 风险 的 评估 从 脆 
弱 性 评估 开始 ， 在 对 照 安 全 措施 实施 前 后 的 脆弱 性 状况 后 ， 再 次 计算 风险 值 的 大 小 。 某 些 风 
险 可 能 在 选择 了 适当 的 安全 措施 后 ， 残 余 风险 的 结果 仍 处 于 不 可 接受 的 风险 范围 内 ， 应 考虑 
是 否 接受 此 风险 或 进一步 增加 相应 的 安全 措施 。 
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16.3 网络 安 全 风险 评估 技术 方法 与 工具 


本 节 给 出 网 络 安全 风险 评估 的 技术 方法 ， 主 要 包括 资产 信息 收集 、 网 络 拓扑 发 现 、 漏 洞 
扫描 、 人 工 检查 、 安 全 渗透 测试 等 。 


16.3.1 资产 信息 收集 


资产 信息 收集 是 网 络 安全 风险 评估 的 重要 工作 之 一 。 通 过 调查 表 形式 ， 查 询 资产 登记 数 
据 库 ， 对 被 评估 的 网 络 信息 系统 的 资产 信息 进行 收集 ， 以 掌握 被 评估 对 象 的 重要 资产 分 布 ， 
进而 分 析 这 些 资产 所 关联 的 业务 、 :威胁 及 存在 的 安全 脆弱 性 。 如 图 16-6 所 示 ， 利 
用 工具 Asset Panda 对 相关 IT 资产 进行 管 


9 小 置 


图 16-6 Asset Panda 资产 管理 示意 图 


16.3.2 ”网 络 拓扑 发 现 


网 络 拓扑 发 现 工具 用 于 获取 被 评估 网 络 信息 系统 的 资产 关联 结构 信息 ， 进 而 获取 资产 信 
息 。 常 见 的 网 络 拓扑 发 现 工具 有 ping、traceroute 以 及 网 络 管理 综合 平台 。 如 图 16-7 所 示 ， 利 
用 网 管 系统 生成 网 络 拓扑 结构 。 通 过 网 络 拓扑 结构 图 ， 可 以 方便 地 掌握 网 络 重要 资产 的 分 布 
状况 及 相互 关联 情况 。 
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图 16-7 某 网 络 拓扑 结构 示意 图 


16.3.3 网络 安全 漏洞 扫描 


网 络 安全 漏洞 扫描 可 以 自动 搜集 待 评估 对 象 的 漏洞 信息 ， 以 评估 其 脆弱 性 。 一 般 可 以 利 
用 多 种 专业 的 扫描 工具 ， 对 待 评估 对 象 进行 漏洞 扫描 ， 并 对 不 同 的 扫描 结果 进行 交叉 验证 ， 
形成 扫描 结果 记录 。 漏 洞 扫描 内 容 主要 有 软件 系统 版 本 号 、 开 放 端 口号 、 开 启 的 网 络 服务 、 
安全 漏洞 情况 、 网 络 信息 共享 情况 、 密 码 算法 和 安全 强度 、 弱 口令 分 布 状况 等 。 

目前 ， 进 行 漏洞 扫描 的 工具 有 许多 ， 常 用 的 扫描 工具 如 下 ; 

。 ”端口 扫描 工具 ， 如 Nmap 开源) 。 

。 ”通用 漏洞 扫描 工具 ， 如 X-Scan 开源)、 绿 盟 极光 商用 ) 、 启 明星 辰 天 镜 脆弱 性 扫 

描 与 管理 系统 (商用 ) 、Nessus (开源 ) 等 。 
。 ”数据 库 扫描 ， 如 SQLMap〔 开 源 )、Pangolin (开源 ) 等 。 
。 ”Web 漏洞 扫描 ， 如 AppScan (商用 ) 、Acunetix Web Vulnerability Scanner〈 商 用 ) 等 。 


16.3.4 ”人工 检查 


人 工 检查 是 通过 人 直接 操作 评估 对 象 以 获取 所 需要 的 评估 信息 。 一 般 进 行人 工 检查 前 ， 
要 事先 设计 好 “检查 表 (CheckList) ”， 然 后 评估 工作 人 员 按 照 “ 检 查 表 ” 进 行 查找 ， 以 发 现 
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系统 中 的 网 络 结构 、 网 络 设备 、 服 务 器 、 客 户 机 等 所 存在 的 漏洞 和 威胁 。 为 了 做 好 评估 依 


据 ， 所 有 的 检查 操作 应 有 书面 的 记录 材料 。 表 16-16 是 关于 客户 PC 的 安全 检查 表 。 
表 16-16 客户 PC 的 安全 检查 
编号 检查 项 目 检查 结果 
1 客户 机 是 否 设置 开机 保护 口令 口 是 口 不 是 
2 客户 机 是 否 提 供 远 程 访问 服务 口 是 口 不 是 
3 客户 机 是 否 安装 杀毒 软件 是 口 不 是 
4 客户 机 是 否 启 用 审计 日 志 是 口 不 是 
3 客户 机 是 否 默认 共享 硬盘 是 口 不 是 
6 客户 机 的 病毒 库 是 否 最 新 是 口 不 是 
7 客户 机 是 否 安装 最 新 补丁 包 是 口 不 是 
8 客户 机 是 否 允许 用 户 自行 安装 软件 包 是 口 不 是 
9 客户 机 是 否 允许 用 户 从 光盘 启动 是 口 不 是 
10 客户 机 是 否定 期 安全 检查 是 口 不 是 


目前 ， 常 用 的 安全 基线 类 型 有 操作 系统 、 数 据 库 、 网 络 设备 、 移 动 设备 、 应 用 软件 等 ， 
其 参考 标准 是 CIS (Center for Internet Security) 。 


16.3.5 “网络 安全 渗透 测试 


网 络 安全 渗透 测试 是 指 在 获得 法 律 授权 后 ， 模 拟 黑客 攻击 网 络 系统 ， 以 发 现 深层 次 的 安全 问 
题 。 其 主要 工作 有 目标 系统 的 安全 漏洞 发 现 、 网 络 攻击 路 径 构造 、 安 全 漏洞 利用 验证 等 。 常 见 的 
渗透 测试 集成 工具 箱 有 BackTrack 5、IMetasploit、Cobalt Strike 等 。 其 中 ，Cobalt Strike 是 一 个 商业 
化 渗透 平台 ， 提 供 网 络 敌 手 仿真 和 渗透 操作 。 口 令 破 解 工 具有 John the Ripper、 朔 雪 、 
brutus-aet2、Cain and Abel 等 。Web 应 用 系统 安全 分 析 工 具 ， 如 Webscarabb、AppScan 等 。 


16.3.6 ”问卷 调查 


问卷 调查 采用 书面 的 形式 获得 被 评估 信息 系统 的 相关 信息 ， 以 掌握 信息 系统 的 基本 安全 
状况 。 问 卷 调查 一 般 根据 调查 对 象 进行 分 别 设计 ， 问 卷 包 括 管理 类 和 技术 类 。 管 理 调查 问卷 
涵盖 安全 策略 、 安 全 组 织 、 资 产 分 类 和 控制 、 人 员 安 全 、 业 务 连 续 性 等 ， 管 理 调 查 问卷 主要 
针对 管理 者 、 操 作 人 员 ; 而 技术 调查 问卷 主要 包括 物理 和 环境 安全 、 网 络 通信 、 系 统 访问 控 
制 和 系统 开发 与 维护 ， 调 查 对 象 是 IT 技术 人 员 。 表 16-17 是 一 个 关于 自我 安全 意识 的 调查 。 


表 16-17 自我 安全 意识 调查 


号 调 查 项 目 
1 ”| 你 选用 的 计算 机 口令 长 度 小 于 8 个 字符 

2 ”| 你 选用 的 计算 机 口令 字符 全 是 数字 或 英文 字母 
3 你 是 否 把 门牌 号 作为 计算 机 口令 
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续 表 

编号 调查 项 目 答案 选择 

4 你 是 否 把 电话 号 码 或 手机 号 作为 计算 机 口令 口 是 口 不 是 口 不 知道 
5 你 的 计算 机 是 否 设置 了 开机 启动 口令 口 是 口 不 是 口 不 知道 
6 当 不 用 计算 机 时 ， 你 是 否 设置 屏幕 保护 口令 口 是 口 不 是 口 不 知道 
是 你 的 计算 机 是 否 安装 防 病毒 软件 口 是 口 不 是 口 不 知道 
8 你 的 计算 机 是 否 安装 最 新 的 补丁 软件 口 是 口 不 是 口 不 知道 
9 你 是 否 及 时 更 新 计算 机 病毒 库 口 是 口 不 是 口 不 知道 
10 收 到 电子 邮件 附件 时 ， 你 是 否 立即 点 击 打开 口 是 口 不 是 口 不 知道 
让 从 网 上 下 载 文件 ， 是 否 使 用 杀毒 工具 检查 口 是 口 不 是 口 不 知道 


16.3.7 “网络 安 全 访谈 


安全 访谈 通过 安全 专家 和 网 络 系统 的 使 用 人 员 、 管 理 人 员 等 相关 人 员 进 行 直接 交谈 ， 以 
考查 和 证 实 对 网 络 系统 安全 策略 的 实施 、 规 章 制度 的 执行 和 管理 与 技术 等 一 系列 情况 。 


16.3.8 ”审计 数据 分 析 


审计 数据 分 析 通 常用 于 威胁 识别 ， 审 计 分 析 的 作用 包括 侵害 行为 检测 、 异 常事 件 监测 、 
潜在 攻击 征兆 发 觉 等 。 审 计数 据 分 析 常 常 采 用 数据 统计 、 特 征 模式 匹配 等 多 种 技术 ， 从 审计 
数据 中 寻找 安全 事件 有 关 人 信息。 下面 举 一 个 例子 ， 某 网 站 服务 器 上 的 访问 日 志 出 现 大 量 类 似 
如 下 的 HTTP 请 求 : 

"GET/default .ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN 
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN 
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN 
NNNNNNNNNNNNNNNNNNNN%YUu9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090% 
u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u00 
00%u00=a HTTP/1.0" 


根据 这 些 日 志 信息 ， 我 们 可 以 推断 该 网 站 受到 红色 蠕虫 攻击 。 

由 于 网 络 安全 审计 数据 量 大 ， 网 络 安全 风险 评估 人 员 需 要 借助 专用 工具 来 查询 审计 数 
据 。 常 用 于 审计 数据 的 分 析 工 具有 grep、Log Parser 等 。 
16.3.9 人 侵 监 测 


入 侵 监 测 是 威胁 识别 的 重要 技术 手段 。 网 络 安全 风险 评估 人 员 将 入 侵 监 测 软件 或 设备 接 
入 待 评 估 的 网 络 中 ， 然 后 采集 评估 对 象 的 威胁 信息 和 安全 状态 。 入 侵 监测 软件 和 设备 有 许 
多 ， 按 照 其 用 途 来 划分 ， 可 粗略 分 成 主机 入 侵 监 测 、 网 络 入 侵 监 测 、 应 用 入 侵 监 测 。 常 用 于 
进行 入 侵 监 测 的 工具 和 系统 如 下 : 

。 ”网 络 协议 分 析 器 ， 如 Tcpduamp、Wireshark; 
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。 入侵 检测 系统 ， 如 开源 入 侵 检测 系统 Snort、Suricata、Bro; 

。 ”Windows 系统 注册 表 监 测 ， 如 regedit; 

。 ”Windows 系统 安全 状态 分 析 ， 如 Process Explorer、Autoruns、Process Monitor 等 ; 
。 ”恶意 代码 检测 ， 如 RootkitRevealer、ClamAV; 

。 ”文件 完整 性 检查 ， 如 Tripwire、MD5sum。 


16.4 ”网 络 安全 风险 评估 项 目 流程 和 工作 内 容 


本 节 阐 述 网 络 安全 风险 评估 项 目的 主要 工作 流程 和 内 容 ， 包 括 评估 工程 前 期 准备 、 评 佑 
方案 设计 与 论证 、 评 佑 方案 实施 、 评 估 报 告 撰写 、 评 估 结 果 评 审 与 认可 等 。 


16.4.1 评估 工程 前 期 准备 


风险 评估 需求 调查 是 评估 工程 后 续 工 作 开展 的 前 提 ， 其 内 容 包 括 评估 对 象 确定 、 评 估 范 
围 界定 、 评 估 的 粒度 和 评估 的 时 间 等 ， 在 评估 工作 开始 前 一 定 要 签订 合同 和 保密 协议 ， 以 避 
免 纠纷 。 由 于 风险 评估 活动 涉及 单位 的 不 同 领域 和 人 员 ， 需 要 多 方面 的 协调 ， 必 要 的 、 充 分 
的 准备 是 风险 评估 成 功 的 关键 。 评 估 前 期 准备 工作 至 少 包括 以 下 内 容 

。 ”确定 风险 评估 的 需求 目标 ， 其 中 包括 评估 对 象 确定 、 评 估 范 围 界 定 、 评 估 的 粒度 和 评 

估 的 时 间 等 ; 

。 签订 合同 和 保密 协议 ; 

。 ”成 立 评估 工作 组 ; 

。 ”选择 评估 模式 。 


16.4.2 ”评估 方案 设计 与 论证 


评估 方案 设计 依据 被 评估 方 的 安全 需求 来 制定 ， 需 经 过 双方 讨论 并 论证 通过 后 方 可 进行 
下 一 步 工 作 。 评 估 方 案 设 计 主要 是 确认 评估 方法 、 评 估 人 员 组 织 、 评 估 工 具 选 择 、 预 期 风险 
分 析 、 评 估 实 施 计 划 等 内 容 。 为 确保 评估 方案 的 可 行 性 ， 评 估 工 作 小 组 应 组 织 相关 人 员 讨 
论 ， 听 取 各 方 意见 ， 然 后 修改 评估 方案 ， 直 至 论证 通过 。 


16.4.3 ”评估 方案 实施 


在 评估 方案 论证 通过 后 ， 才 能 组 织 相 关 人 员 对 方案 进行 实施 。 评 佑 方案 实施 内 容 主 要 包 
括 评估 对 象 的 基本 情况 调查 、 安 全 需求 挖掘 以 及 确定 具体 操作 步骤 ， 评 估 实 施 过 程 中 应 避免 
改变 系统 的 任何 设置 或 必须 备份 系统 原 有 的 配置 ， 并 书面 记录 操作 过 程 和 相关 数据 。 工 作 实 
施 应 必须 有 工作 备忘录 ， 内 容 包 括 评估 环境 描述 、 操 作 的 详细 过 程 记 录 、 问 题 简要 分 析 、 相 
关 测试 数据 保存 等 。 敏 感 系统 的 测试 ， 参 加 评估 实施 的 人 员 要 求 至 少 两 人 ， 且 必须 领导 签字 
批准 。 


EC 
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16.4.4 ”风险 评估 报告 撰写 


根据 评估 实施 情况 和 所 搜集 到 的 信息 ， 如 资产 评估 数据 、 威 胁 评估 数据 、 脆 弱 性 评估 数 
据 等 ， 完 成 评估 报告 撰写 。 评 估 报 告 是 风险 评估 结果 的 记录 文件 ， 是 组 织 实施 风险 管理 的 主 
要 依据 ， 是 对 风险 评估 活动 进行 评审 和 认可 的 基础 资料 ， 因 此 ， 报 告 必须 做 到 有 据 可 查 。 报 
告 内 容 一 般 主要 包括 风险 评估 范围 、 风 险 计算 方法 、 安 全 问题 归纳 及 描述 、 风 险 级 数 、 安 全 
建议 等 。 风 险 评估 报告 还 可 以 包括 风险 控制 措施 建议 、 残 余 风险 描述 等 。 网 络 风险 评估 报告 
由 绪论 、 安 全 现状 描述 、 资 产 评估 、 脆 弱 性 评估 、 安 全 管理 评估 、 评 估 总 结 和 建议 组 成 。 其 
中 ， 绪 论 包括 术语 和 定义 、 评 估 内 容 、 评 估 流 程 、 评 估 数 据 来 源 和 评估 参考 依据 ;安全 现状 
描述 则 是 给 出 网 络 组 成 说 明 、 网 络 拓扑 结构 、 关 键 设备 和 网 络 服务 、 当 前 网 络 安全 防范 措 
施 ， 资产 评估 列 出 网 络 系统 中 的 软 硬 件 清单 ， 如 路 由 器 、 交 换 机 、 网 络 服务 、 操 作 系统 、 
数据 库 、 主 机 等 ， 并 对 资产 给 出 重要 性 评价 ， 脆弱 性 评估 则 是 给 出 网 络 系统 所 面临 的 威 
胁 ， 包 括 威胁 来 源 、 威 胁 途径 、 威 胁 方式 、 威 胁 后 果 等 ;安全 管理 评估 则 是 从 安全 操作 流 
程 、 设 备 管理 、 人 员 管理 、 安 全 制度 、 应 急 响 应 能 力 、 行 政 控制 手段 等 方面 对 网 络 系统 的 
安全 问题 进行 分 析 评 价 ， 分 析 其 存在 的 不 足 ， 评 估 总 结 和 建议 是 风险 评估 报告 的 最 后 部 
分 ， 这 一 部 分 内 容 主要 是 把 网 络 系统 的 安全 问题 进行 归 类 ， 并 说 明 各 类 安全 问题 的 轻重 和 
应 采取 的 安全 对 策 。 

16.4.5 ”评估 结果 评审 与 认可 

最 高 管理 层 或 其 委托 的 机 构 应 组 织 召开 评估 工作 结束 会 议 ， 总 结 评估 工作 ， 对 风险 评 
估 活 动 进行 评审 ， 以 确保 风险 评估 活动 的 适宜 、 充 分 和 有 效 。 评 估 认 可 是 单位 最 高 管理 者 
或 上 级 主管 机 关 对 风险 评估 结果 的 验收 ， 是 本 次 风险 评估 活动 结束 的 标志 。 评 估 项 目 负责 
方 应 将 评估 工作 经 验 形成 书面 文字 材料 ， 一 并 把 评估 数据 、 评 估 方 案 、 评 估 报 告 等 相关 文 
档 备 案 处 理 。 


16.5 网络 安全 风险 评估 技术 应 用 


网 络 安全 风险 评估 是 网 络 信息 系统 安全 保障 的 重要 工作 之 一 ， 其 作用 是 “知己 知 彼 ”， 
主动 掌握 网 络 安全 状况 ， 以 便于 进行 网 络 安全 建设 和 防护 。 本 节 首 先 分 析 网 络 安全 风险 评估 
的 应 用 场景 ， 然 后 给 出 Web、 供 应 链 、 工 业 控 制 系统 、 网 络 安全 、 人 工 智 能 等 方面 的 安全 风 
险 评估 参考 案例 。 


16.5.1 网络 安 全 风险 评估 应 用 场景 


网 络 信息 技术 与 系统 的 安全 管理 日 趋 复杂 ， 国 内 外 都 认同 网 络 安全 风险 评估 的 重要 性 ， 建 
议 网 络 安全 风险 评估 制度 化 。 网 络 安全 风险 评估 的 主要 应 用 场景 可 以 归结 为 以 下 几 个 方面 。 
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1. 网 络 安全 规划 和 设计 


网 络 安全 风险 评估 是 网 络 信息 系统 安全 建设 的 基础 性 工作 ， 它 有 利于 网 络 安全 规划 和 设 
计 ， 明 晰 网 络 安全 保障 需求 。 通 过 网 络 安全 风险 评估 ， 有 利于 科学 地 分 析 和 理解 网 络 信息 系 
统 在 保密 性 、 完 整 性 、 可 用 性 、 可 控 性 等 方面 所 面临 的 风险 问题 ， 并 为 网 络 安全 风险 的 减 
少 、 转 移 和 规避 等 风险 控制 提供 决策 依据 ， 更 加 明确 网 络 信息 系统 的 安全 建设 需求 ， 从 而 有 
利于 网 络 信息 系统 的 安全 投资 、 网 络 安全 措施 的 选择 、 网 络 安全 保障 体系 的 建设 等 ， 增 加 网 
络 信息 系统 的 信息 安全 建设 价值 。 


2. 网 络 安全 等 级 保护 


网 络 安全 风险 评估 有 利于 网 络 系统 的 安全 防护 做 到 重点 突出 ， 分 级 防护 。 实 际 上 ， 风 险 
总 是 不 可 避免 地 客观 存在 ， 工 作 过 程 不 可 能 做 到 绝对 安全 。 因 此 ， 追 求 绝 对 安全 和 完全 回避 
风险 都 是 不 现实 的 ， 安 全 是 风险 与 成 本 的 综合 平衡 。 通 过 网 络 安全 风险 评估 ， 有 利于 网 络 信 
息 系统 进行 定 级 备案 ， 满 足 国家 网 络 安全 法 律 法 规 要 求 ， 有 利于 网 络 安全 合 规 建设 和 管理 。 


3. 网 络 安全 运 维 与 应 急 响 应 


网 络 安全 风险 评估 是 网 络 安全 运 维 与 应 急 响 应 的 重要 日 常 工作 。 由 于 网 络 安全 威胁 、 新 
漏洞 发 现 、 恶 意 代码 的 攻击 等 不 可 确定 性 ， 持 续 性 地 开展 网 络 安全 风险 评估 ， 及 时 调整 安全 
措施 ， 有 利于 维护 网 络 信息 系统 的 安全 。 


4. 数据 安全 管理 与 运营 


数据 成 为 新 型 的 生产 资源 ， 与 此 同时 ， 数 据 的 生命 周期 中 面临 着 各 种 安全 威胁 。 数 据 安 
全 风险 评估 有 利于 识别 数据 资产 的 类 型 和 等 级 、 建 立 数 据 安全 保护 策略 。 


16.5.2 ” OWASP 风险 评估 方法 参考 


OWASP 是 一 个 针对 Web 应 用 安全 方面 的 研究 组 织 ， 其 推荐 的 OWASP 风险 评估 方法 分 成 
以 下 步 又 : 

步骤 一 ， 确 定 风险 类 别 (Identifying a Risk) 。 

收集 攻击 者 、 攻 击 方法 、 利 用 漏洞 和 业务 影响 方面 的 信息 ， 确 定 评级 对 象 的 潜在 风险 。 

步骤 二 ， 评 估 可 能 性 的 因素 (Factors for Estimating Likelihood) 。 

从 攻击 者 因素 、 漏 洞 因素 分 析 安 全 事件 出 现 的 可 能 性 。 攻 击 者 因素 主要 包括 技术 水 平 、 
动机 、 机 会 和 成 本 ; 漏洞 因素 则 包括 漏洞 的 发 现 难 易 程度 、 漏 洞 的 利用 难 易 程 度 、 漏 洞 的 公 
开 程 度 、 漏 洞 利用 后 入 侵 检 测 。 

步骤 三 ， 评 估 影 响 的 因素 (Factors for Estimating Impact) 。 

评估 影响 的 因素 主要 有 技术 影响 因素 、 业 务 影响 因素 。 技 术 影 响 因 素 包括 保密 性 、 完 整 
性 、 可 用 性 、 问 责 性 等 方面 的 损失 :业务 影响 因素 包括 金融 财务 损失 、 声 誉 损失 、 不 合 规 损 
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失 、 侵 犯 隐私 损失 等 。 

步骤 四 ， 确 定 风险 的 严重 程度 (Determining the Severity of the Risk) 。 

把 可 能 性 评估 和 影响 评估 放 在 一 起 ， 计 算 风险 的 总 体 严重 程度 。 可 能 性 评估 和 影响 评估 
分 成 0 一 9 的 级 别 ， 如 表 16-18 所 示 。 


表 16-18 风险 等 级 划分 


风险 值 可 能 性 和 影响 程度 
0~3 低 
3 一 6 中 
6~9 高 


如 果 要 让 评估 结果 更 可 靠 ， 可 分 别 考虑 可 能 性 评估 和 影响 评估 。 
将 可 能 性 评估 中 的 攻击 者 因素 和 漏洞 因素 按照 0 一 9 分 进行 评估 ， 如 表 16-19 所 示 。 
表 16-19 攻击 者 因素 和 漏洞 因素 评估 示意 
攻击 者 因素 


总 体 的 可 能 性 =4.375 〈 中 ) 
将 影响 评估 中 的 技术 影响 因素 和 业务 影响 因素 按照 0 一 9 分 进行 评估 ， 如 表 16-20 所 示 。 
表 16-20 技术 影响 因素 和 业务 影响 因素 评估 示意 


整体 技术 影响 二 7.25 (高 ) 整体 业务 影响 =2.25〔 低 ) 


结合 上 述 的 可 能 性 评估 和 影响 评估 的 结果 ，OWASP 风险 整体 评估 如 表 16-21 所 示 ， 风 险 
等 级 分 为 注意 、 低 、 中 、 高 、 关 键 。 


表 16-21 OWASP 整体 风险 评估 


步骤 五 ， 决 定 修复 内 容 (Deciding What to Fix) 。 
将 应 用 程序 的 风险 分 类 ， 获 得 以 优先 级 排列 的 修复 列表 。 一 般 规则 是 首先 修复 最 严重 的 风 
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险 。 即 使 解决 那些 简单 且 低 成 本 的 不 太 重 要 的 风险 ， 也 无 助 于 改善 整个 应 用 程序 的 风险 状况 。 
步骤 六 ， 定 制 合适 的 风险 评级 模型 (Customizing Your Risk Rating Model) 。 
根据 评估 对 象 ， 调 整 模型 使 其 与 风险 评级 准确 度 相 一 致 。 例 如 ， 可 以 添加 可 能 性 的 因 
素 ， 如 攻击 者 机 会 窗口 、 加 密 算法 强度 等 。 根 据 自身 的 业务 安全 需求 ， 增 加 权重 因素 调整 风 
险 值 的 计算 。 


16.5.3 1CT 供应 链 安全 威胁 识别 参考 


本 节 参 考 来 自 《 信 息 安 全 技术 ICT 供应 链 安全 风险 管理 指南 》。ICT 是 Information and 
Communication Technology 的 缩写 。ICT 供应 链 风险 管理 的 主要 目标 如 下 : 

。 完整 性 。 确 保 在 ICT 供应 链 的 所 有 环节 中 ， 产 品 、 系 统 、 服 务 及 其 所 包含 的 组 件 、 部 

件 、 元 器 件 、 数 据 等 不 被 植 入 、 自 改 、 蔡 换 和 伪造 。 

。 ”保密 性 。 确 保 ICT 供应 链 上 传递 的 信息 不 被 泄露 给 未 授权 者 。 

。 可用性。 确保 需 方 对 ICT 供应 链 的 使 用 不 会 被 不 合理 地 拒绝 。 

。 ”可 控 性 。 可 控 性 是 指 需 方 对 ICT 产品 、 服 务 或 供应 链 的 控制 能 力 。 

ICT 供应 链 主要 面临 恶意 算 改 、 假 冒 伪劣 、 供 应 中 断 、 信 息 泄露 或 违规 操作 和 其 他 威胁 五 
类 安全 威胁 ， 如 图 16-8 所 示 。 


假冒 伪劣 

Tt 中 供应 中 断 
信息 泄露 或 违规 操作 

其 他 威胁 


16-8 ICT 供应 链 威 胁 识 别 示意 


ICT 供应 链 的 各 类 安全 威胁 分 析 如 下 : 

。 ”恶意 算 改 。 在 ICT 供应 链 的 设计 、 开 发 、 采 购 、 生 产 、 仓 储 、 物 流 、 销 售 、 维 护 、 返 
回 等 某 一 环节 ， 对 ICT 产品 或 上 游 组 件 进行 恶意 修改 、 植 入 、 蔡 换 等 ， 以 嵌入 包含 恶 
意 逻 辑 的 软件 或 硬件 ， 危 害 产 品 和 数据 的 保密 性 、 完 整 性 和 可 用 性 。 典 型 的 安全 威胁 
方式 有 植 入 恶意 程序 、 插 入 硬件 木马 、 算 改 外 来 组 件 、 未 经 授权 的 配置 、 供 应 信息 算 
改 。 恶意 算 改 的 案例 也 时 有 发 生 , 根据 网 上 公开 报道 , 美国 NSA 设计 了 一 个 带 有 缺陷 
的 随机 数 生成 算法 并 通过 NIST 确立 为 国家 标准 。 然 后 NSA 通过 买通 RSA 公司 ， 将 
Dual EC_ DRBG 这 一 带 有 缺陷 的 随机 数 生成 算法 作为 BSAFE 中 的 首选 随机 数 生成 算 
法 。BSAFE 是 RSA 公司 开发 的 一 个 面向 开发 者 的 软件 工具 。 
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假冒 伪劣 。ICT 产品 或 上 游 组 件 存在 侵犯 知识 产权 、 质 量 低劣 等 问题 。 例 如 未 经 授权 ， 
对 已 受 知识 产权 保护 的 产品 进行 复制 和 销售 ， 或 由 未 经 供应 商 授权 的 渠道 提供 给 供应 
商 并 被 包装 成 合法 正规 产品 。 

供应 中 断 。 由 于 人 为 的 或 自然 的 原因 ， 造 成 ICT 产品 或 服务 的 供应 量 或 质量 下 降 ， 甚 
至 ICT 供应 链 中 断 或 终止 。 典 型 的 安全 威胁 方式 包括 突 发 事件 中 断 、 基 础 设施 中 断 、 
国际 环境 影响 、 不 正当 竞争 行为 、 不 被 支持 的 组 件 等 。 供 应 中 断 的 实际 案例 有 许多 
例如 微软 停止 提供 Windows XP 补丁 和 安全 更 新 服务 ， 迫 使 用 户 自行 对 自己 的 
Windows XP 操作 系统 进行 升级 。 

信息 泄露 或 违规 操作 。 信息 泄露 是 指 ICT 供应 链 上 传递 的 敏感 信息 被 非法 收集 、 处 理 或 
泄露 。 典 型 的 安全 威胁 方式 包括 共享 信息 泄露 、 违 规 收 集 或 使 用 用 户 数据 、 滥 用 大 数据 
分 析 、 商 业 秘 密 泄露 。 此 类 威胁 的 实际 案例 如 Facebook 数据 安全 事件 。Facebook 将 大 
量 用 户 的 信息 拿 出 来 与 数据 分 析 公司 Cambridge Analytica 分 享 ， 涉 及 5000 万 用 户 。 
其 他 威胁 。 典 型 的 安全 威胁 方式 包括 合 规 差异 性 挑战 、 内 部 人 员 破 坏 、 外 包 人 员 攻 击 
或 操作 不 当 、 全 球 化 外 包 管 理 挑战 。 


16.5.4 ”工业 控制 系统 平台 脆弱 性 识别 参考 


本 参考 来 自 《信息 安 全 技术 工业 控制 系统 风险 评估 实施 指南 》。 工 业 控制 系统 平台 是 由 工 
业 控 制 系统 硬件 、 操 作 系统 及 其 应 用 软件 组 成 的 。 平 台 脆弱 性 是 由 工业 控制 系统 中 软 硬 件 本 
身 存在 的 缺陷 、 配 置 不 当 和 缺少 必要 的 维护 等 问题 造成 的 。 平 台 脆弱 性 包括 平台 硬件 、 平 台 
软件 、 平 台 配置 和 平台 管理 四 个 方面 的 脆弱 性 ， 如 图 16-9 所 示 。 


平台 硬件 脆弱 性 识别 


平台 软件 脆弱 性 识别 


平台 配置 脆弱 性 识别 


平台 管理 脆弱 性 识别 


图 16-9 工业 控制 系统 平台 脆弱 性 识别 示意 图 


1. 平台 硬件 脆弱 性 识别 内 容 与 操作 


平台 硬件 脆弱 性 是 指 工业 控制 系统 平台 硬件 设备 存在 的 脆弱 性 。 表 16-22 列 出 了 工业 控制 
系统 的 平台 硬件 通常 可 能 存在 的 脆弱 性 。 
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表 16-22 工业 控制 系统 硬件 脆弱 性 


胸 弱 性 类型 描 ”还 
开启 远程 服务 的 设备 安全 保 | 开启 远程 服务 的 设备 没有 配备 运行 维护 工作 人 员 ， 也 没有 物理 监视 技 
护 不 足 术 手段 
安全 变更 时 未 进行 充分 测试 “| 更 换 设备 时 ， 未 对 其 进行 充分 的 检测 
不 安全 的 物理 端口 eg ， 如 USB、PS/2 等 外 部 接口 可 能 会 导致 设备 未 授权 
无 访问 控制 的 硬件 调试 接口 “| 攻击 人 员 可 利用 调试 工具 更 改 设备 参数 ， 造 成 设备 非 正常 运行 
不 安全 的 远程 访问 工业 控制 | 未 部 署 安全 措施 ， 开 启 了 调制 解 调 器 和 其 他 远程 访问 措施 ， 使 维护 工 
系统 设备 程 师 和 供应 商 获得 远程 访问 系统 的 能 力 
重要 设备 无 元 余 配 轩 重要 的 设备 没有 各 份 会 导 臻 单 点 失败 
| 、 使 用 双 网 卡 连接 到 不 同 网 络 的 设备 ， 可 能 会 导致 未 授权 访问 并 造成 本 
设备 中 使 用 双 网 卡 连接 网 络 | 应 逻辑 隔离 的 网 络 册 现 数据 交互 
ee 工业 控制 系统 中 某 些 设备 模块 未 进行 资产 登记 ， 可 能 会 导致 存在 非 授 
设备 未 进行 注册 权 用 户 访问 点 以 及 后 门 
设备 存在 后 站 工业 控制 系统 中 关键 设备 存在 后 门 ， 可 能 会 导致 非法 神 取 系统 数据 


平台 硬件 脆弱 性 识别 操作 如 下 : 

(1) 查看 被 评估 方 是 否 为 平台 硬件 ， 尤 其 开启 远程 服务 的 设备 配备 运 维 人 员 。 

(2) 查看 是 否 留 有 不 安全 的 物理 端口 ， 是 否 将 无 用 的 USB、PS/2、 远 程 接口 、 网 络 接口 进 
行 封 堵 ， 或 采取 其 他 技术 措施 进行 监控 。 

(3) 查看 是 否 有 对 变更 设备 时 的 测试 记录 或 者 其 他 证 明 变 更 时 进行 过 测试 的 证 据 。 

(4) 现场 核查 工业 控制 系统 中 是 否 存在 调制 解 调 器 或 专业 远程 连接 设备 ， 是 否 针 对 这 些 设 
备 部 署 安全 措施 ， 并 验证 安全 措施 的 有 效 性 。 

(5) 现场 核查 是 否 仅 必要 人 员 可 以 物理 访问 工业 控制 系统 设备 。 

(6) 现场 核查 被 评估 方 的 资产 清单 中 是 否 包括 工业 控制 系统 所 有 设备 。 

(7) 现场 查看 被 评估 方 是 否 对 重要 设备 进行 元 余 设 计 ， 并 按 设计 部 署 。 

(8) 现场 查看 硬件 设备 中 是 否 存在 使 用 双 网 卡 。 

(9) 检测 关键 设备 是 否 存在 后 门 。 


2. 平台 软件 脆弱 性 识别 内 容 与 操作 


平台 软件 脆弱 性 是 指 工业 控制 系统 平台 软件 存在 的 脆弱 性 。 平 台 软件 包括 工业 控制 系统 
使 用 的 操作 系统 、 应 用 软件 、 防 病毒 软件 等 。 在 工业 控制 系统 中 ，SCADA 主机 、 操 作 站 、 工 
程 师 站 、HMI、 历 史 数 据 库 、 实 时 数据 库 等 通常 使 用 与 IT 行业 相同 的 计算 机 、 服 务 器 以 及 操 
作 系 统 ( 主 要 是 Windows 和 UNIX) 。 表 16-23 列 出 了 工业 控制 系统 的 平台 软件 通常 可 能 存在 
的 脆弱 性 。 


脆 弱 性 
缓冲 区 溢出 


国 346 计 。” 。 信 息 安全 工程 师 教程 (第 2 版 ) 


表 16-23 工业 控制 系统 软件 脆弱 性 

描 述 
工业 控制 系统 软件 可 能 存在 缓冲 区 溢出 的 问题 。 攻击 者 可 以 利用 这 一 点 
实施 攻击 


缺 省 配置 中 关闭 安全 功能 


如 果 关 闭 或 者 不 使 用 产品 自 带 的 安全 功能 ， 此 类 安全 功能 将 不 能 起 到 作用 


拒绝 服务 攻击 


大 多 数 实时 或 嵌入 式 操作 系统 都 没有 拒绝 访问 系统 资源 的 机 制 。 工业 控 
制 系统 软件 可 能 遭受 DoS 攻击 , 导致 合法 用 户 不 能 访问 系统 , 或 者 系统 
操作 和 功能 延迟 


对 未 定义 ,定义 不 明确 或 “ 非 


一 些 工 业 控 制 系统 没有 进行 有 效 检测 就 处 理 可 能 包含 格式 错误 或 者 包 


法 ”情况 的 错误 处 理 含 非法 阔 值 的 数据 包 
依赖 OPC 不 升级 系统 补丁 ，RPC/DCOM 的 脆弱 性 可 能 被 利用 来 攻击 OPC 

工业 控制 系统 普遍 使 用 的 CAN、DNP3.0、Modbus、IEC 60870-5-101、 
ee IEC 60870-5-104 和 一 些 工 业 控 制 系统 专用 协议 的 相关 信息 已 公开 或 被 

破译 。 而 且 这 些 协议 中 只 有 很 少 或 根本 不 包含 安全 功能 
开启 了 不 必要 的 服务 不 必要 的 服务 未 被 禁用 关闭 ， 可 能 会 被 利用 
本 许多 工业 控制 系统 的 系统 协议 以 明文 方式 传递 信息 ， 导 致 消息 很 容易 被 

使 用 明文 传输 协议 攻击 者 窃听 
扣 刘 和 各 应 加 人 的 认证 和 访 | 攻击 者 可 以 通过 非法 访问 配置 和 程序 软件 破坏 设备 或 系统 
未 安装 入 侵 检测 和 防御 软件 入 侵 行为 会 导致 系统 不 可 用 ， 数 据 被 截获 、 修 改 和 删除 ， 控 制 命令 的 错 


某 些 软 件 中 存在 安全 后 门 


通信 协议 脆弱 性 


未 安装 防护 软件 

病毒 防护 软件 病毒 库 过 期 
安装 病毒 防护 软件 及 其 病毒 库 
升级 包 前 未 经 过 仔细 的 测试 
操作 系统 存在 漏洞 


误 执行 

不 法 供应 商 为 了 各 种 目的 ， 在 提供 的 软件 中 设置 后 门 ， 危 害 性 大 
工业 控制 系统 采用 的 部 分 通信 协议 ， 由 于 设计 原因 存在 安全 脆弱 性 ， 这 
些 协议 脆弱 性 可 能 被 攻击 者 利用 ， 造 成 系统 的 不 可 用 ， 数 据 被 截获 、 修 
改 和 删除 ， 控 制 系统 执行 错误 的 动作 等 

恶意 代码 会 导致 系统 性 能 低下 、 系 统 不 可 用 和 数据 被 截获 、 修 改 和 删除 
病毒 防护 软件 病毒 库 过 期 导致 系统 容易 被 新 的 病毒 攻击 

未 经 测试 就 安装 病毒 防护 软件 及 其 病毒 库 升级 包 可 能 会 影响 工业 控制 
系统 的 正常 运行 

操作 系统 不 升级 补丁 ， 存 在 已 知 漏洞 


平台 软件 脆弱 性 识别 操作 如 下 : 

(1) 评估 方 查看 平台 中 安装 的 操作 系统 版 本 及 应 用 软件 类 型 ， 例 如 Windows 操作 系统 、 
嵌入 式 系统 、Linux 系统 、 程 序 下 载 软件 、 数 据 库 软件 、 远 程控 制 软件 等 。 

(2) 必要 时 在 模拟 仿真 环境 中 对 重要 组 件 进行 组 件 测试 ， 识 别 其 脆弱 性 。 

(3) 在 模拟 仿真 环境 中 查看 设备 开启 的 端口 ， 是 否 开 启 了 不 必要 的 端口 服务 。 

(4) 在 模拟 仿真 环境 中 查找 设备 存在 的 系统 漏洞 。 

(5) 评估 方 查看 平台 是 否 安装 病毒 防护 软件 ， 病 毒 防护 软件 是 否 经 过 测试 安装 ， 病 毒 库 是 
否定 期 更 新 ， 查 看 测试 记录 及 病毒 库 更 新 记录 。 

(6) 现场 核查 系统 使 用 DCOM 设备 是 否 进行 端口 限定 ， 是 否 对 OPC 及 时 修补 升级 。 
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(7) 在 模拟 仿真 环境 中 可 以 使 用 恶意 代码 针对 OPC 进行 测试 ， 识 别 其 脆弱 性 。 

(8) 查看 关键 应 用 软件 源 代码 ， 若 关键 应 用 软件 为 第 三 方 供应 商 提 供 ， 则 需 与 其 联系 ， 取 
得 软件 源 代码 ， 对 其 进行 分 析 研 判 ， 识 别 其 脆弱 性 。 

(9) 现场 核查 在 远程 访问 控制 设备 时 使 用 的 专用 设备 及 软件 ， 在 模拟 仿真 环境 中 对 其 进行 
技术 检测 ， 识 别 其 脆弱 性 。 

(10) 现场 核查 并 分 析 系 统 运行 产生 的 历史 数据 ， 验 证 系统 数据 是 否 曾 出 现 异常 及 出 现 异 


常 的 时 间 及 原因 。 


(11) 评估 方 查看 程序 下 载 软件 固件 的 使 用 权限 ， 下 载 程 序 是 否 加 密 认证 ， 并 验证 其 认证 


的 有 效 性 。 


(12) 评估 方 现场 查看 工业 控制 系统 中 使 用 的 工控 协议 有 哪些 ， 其 是 否 只 用 于 工业 控制 系 


统 控制 网 络 中 。 


(13) 在 模拟 仿真 环境 中 对 使 用 的 工业 控制 系统 协议 进行 分 析 ， 是 否 是 明文 传输 。 
(14) 在 模拟 仿真 环境 中 进行 重 放 攻击 ， 验 证 是 否 有 数据 校 验 ， 防 自 改 。 
(15) 在 模拟 仿真 环境 中 进行 模糊 测试 ， 验 证 平台 是 否 存在 拒绝 服务 等 安全 漏洞 。 


(16) 评估 方 现场 查看 工业 控制 系统 中 重要 数据 存储 是 否 进行 加 密 或 采取 其 他 安全 措施 。 
3. 平台 配置 脆弱 性 识别 内 容 与 操作 


平台 配置 脆弱 性 是 指 工业 控制 系统 平台 软 硬 件 的 配置 存在 的 脆弱 性 。 表 16-24 列 出 了 工业 
控制 系统 的 平台 配置 通常 可 能 存在 的 脆弱 性 。 


表 16-24 工业 控制 系统 配置 脆弱 性 


脆弱 性 手 壕 
没有 制定 和 实施 工业 控制 系统 软 硬 件 配置 备份 和 恢复 规程 ， 对 系统 参数 意 
关键 配置 未 存储 或 备份 | 外 或 者 恶意 的 修改 可 能 造成 系统 故障 或 数据 丢失 
便 搞 设备 上 存储 歼 据 且 | 敏感 数据 《密码 ， 投 号 号 码 ) 以 明文 方式 存储 在 了 移动 设备 上 ， 如 笔记 本 
无 保护 措施 PDA， 一 旦 这 些 设备 丢失 或 者 被 次 ， 系 统 安全 就 会 划 受 极 大 威 且 
没有 口令 策略 ， 系 统 就 缺少 合适 的 口令 控制 ， 使 得 对 系统 的 非法 访问 更 容 
缺少 恰当 的 口令 策略 。 | 易 。 口 令 策略 是 整个 工业 控制 系统 安全 策略 的 一 部 分 ， 口 令 策略 的 制定 应 
考虑 到 工业 控制 系统 处 理 复杂 口令 的 能 力 
未 设置 口令 可 能 导致 法 访问 。 口 令 相 关 的 胸 弹 性 包括 : 
系统 登录 无 口令 (如果 系统 有 用 户 账户 ) 
下 人 系统 启动 无 口令 如 果 系统 没有 用 户 账户 ) 
系统 待机 无 口令 (如 果 工 业 控制 系统 组 件 一 段 时 间 内 没 被 使 用 ) 
候 少 适当 的 密码 控制 措施 ， 未 授权 用 户 可 能 擅自 访问 机 密 信息 。 例 子 旬 括 | 
以 明文 方式 将 口令 记录 在 本 地 系统 
口令 保护 不 当 和 个 人 账户 使 用 同一 口令 
口令 泄漏 给 第 三 方 


在 未 受 保护 的 通信 中 以 明文 方式 传输 口令 
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续 表 
脆 弱 性 描 述 
访问 控制 不 当 访问 控制 方法 不 当 ， 可 能 导致 工业 控制 系统 用 户 具 有 过 多 或 过 少 的 权限 。 
如 采用 缺 省 的 访问 控制 设置 使 得 操作 员 具 备 了 管理 员 特权 
未 安装 入 侵 检 测 和 防御 | 入 侵 行为 会 导致 系统 不 可 用 ， 数 据 被 截获 、 修 改 和 删除 ， 控 制 命令 的 错误 
软件 执行 
不 安全 的 工业 控制 系统 | 系统 工程 师 或 厂商 在 无 安全 控制 措施 的 情况 下 ， 实 施 对 工业 控制 系统 的 远 


组 件 远程 访问 程 访问 ， 可 能 导致 工业 控制 系统 访问 权限 被 非法 用 户 获取 
未 配置 安全 审计 er 


被 评估 方 未 根据 工作 需要 合理 分 类 设置 账户 权限 ， 操 作 员 可 以 取得 高 权限 
的 授权 ， 对 其 进行 操作 ， 造 成 损失 

平台 配置 脆弱 性 识别 操作 如 下 : 

(1) 评估 方 现场 核查 重要 配置 是 否 备份 ， 是 否 将 敏感 数据 存储 在 便携 设备 中 。 

(2) 评估 方 现场 核查 口令 是 否 以 明文 的 方式 存储 在 本 地 系统 或 便携 设备 中 ， 过 去 是 否 存在 
泄漏 口令 的 事件 ， 在 模拟 仿真 环境 中 使 用 暴力 破解 等 方法 验证 口令 的 可 靠 性 。 

(3) 查看 平台 硬件 设备 口令 更 新 周期 及 字符 长 度 等 配置 。 

(4) 现场 核查 远程 访问 控制 设备 接 入 控制 网 络 时 是 否 需要 用 户 验证 。 

(5) 现场 核查 是 否 对 远程 访问 进行 审计 ， 是 否 生成 审计 记录 ， 或 者 使 用 其 他 蔡 代 安全 措施 。 

(6) 现场 核实 是 否 有 远程 访问 记录 ， 远 程 访 问 是 否 经 过 组 织 批准 或 认证 ， 远 程 访问 数据 是 
否 加 密 ， 或 者 采用 其 他 防 算 改 、 防 泄密 的 措施 。 

(7) 现场 核查 使 用 平台 软 硬 件 安装 时 的 预 设 口 令 、 空 口令 是 否 无 法 登录 系统 ， 账 户口 令 是 
否 属于 弱 口 令 。 

(8) 评估 方 查看 工业 控制 的 权限 分 配 ， 是 否 责 权 分 离 ， 是 否 是 所 需 的 最 小 权限 ， 管 理 员 权 
限 是 否 被 评估 方 指定 管理 ， 是 否 使 用 缺 省 访问 控制 。 验 证 配置 访问 控制 的 有 效 性 。 

(9) 现场 核查 平台 软 硬 件 是 否 具有 限制 无 效 访问 次 数 的 能 力 ， 对 任何 用 户 人、 软件 进程 
和 设备 ) 在 可 配置 的 时 间 周 期 内 连续 无 效 访问 尝试 的 次 数 是 否 限制 为 一 个 可 配置 的 数目 ， 在 可 
配置 时 间 周 期 内 未 成 功 尝试 次 数 超过 上 限时 ， 在 指定 时 间 内 是 否 拒绝 其 访问 直到 由 最 高 权限 
者 解锁 。 

(10) 检查 控制 系统 是 否 提供 会 话 锁 能 力 ， 在 会 话 不 活跃 状态 超过 可 配置 的 时 间 周 期 之 
后 ， 检 查 会 话 锁 是 否 启 用 ， 防 止 其 进一步 的 访问 ,会 话 锁 是 否 保持 有 效 直 到 最 高 权限 者 使 用 
适当 的 标识 和 认证 规程 重新 建立 访问 。 

(11) 现场 核查 是 否 安装 入 侵 检测 和 防御 软件 ， 或 是 否 采用 其 他 葵 代 措施 。 

(12) 现场 核查 可 开启 审计 功能 的 软 硬 件 是 否 开 启 相关 功能 ， 或 是 否 采取 蔡 代 措 施 。 


4. 平台 管理 脆弱 性 识别 内 容 与 操作 
平台 管理 脆弱 性 识别 是 指 对 组 织 的 安全 管理 策略 、 制 度 、 人 员 、 运 维 管理 等 方面 存在 的 


未 对 系统 进行 权限 划分 
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脆弱 性 进行 核查 。 表 16-25 列 出 了 工业 控制 系统 的 平台 管理 通常 可 能 存在 的 脆弱 性 。 


表 16-25 工业 控制 系统 的 管理 脆弱 性 


脆 弱 性 描 述 
工业 控制 系统 安全 策略 不 当 安全 策略 不 当 或 者 不 具体 ， 可 造成 安全 漏洞 
未 编制 明确 具体 、 书 面 的 安全 管理 文档 会 导致 安全 管理 程序 不 成 
未 编制 明确 具体 的 安全 管理 文档 体系 、 无 约束 力 、 责 任 不 明确 ， 无 法 科学 地 实施 ， 管 理 措施 无 法 
更 好 地 落实 
了 控制 工程 人 员 缺 乏 安全 方面 的 基本 培训 , 同时 设备 和 系统 供应 商 
不 合格 的 安全 体系 结构 和 设计 的 产品 中 没有 必要 的 安全 特性 
设备 使 用 说 明文 件 未 配备 或 不 足 det 
缺少 安全 实施 的 管理 机 制 安全 方面 的 实施 负责 人 员 未 对 文档 化 安全 管理 承担 相应 责任 


未 编制 、 测试 应 急 预 案 会 导致 在 主要 硬件 、 软件 失效 或 在 服务 设 
施 毁 坏 时 无 法 及 时 处 理 ， 造 成 业务 中 断 或 数据 丢失 
工业 控制 系统 中 很 少 或 没有 安全 审计 会 导致 无 法 检验 安全 措施 


未 制定 工业 控制 系统 应 急 预 案 


很 少 或 未 对 工业 控制 系统 进行 审计 | 是 否 充分 、 是 否 合乎 ICS 安全 策略 与 程序 文件 的 规定 
天 机 上 人 同和 需 生 | 更 和 和 的 庆 交 导 下 全 上 各 ,信息 雪人 
pe 组 织 末 制 定 或 末 实 施 运 维 管 理 策略 或 规程 , 可 能 产生 恶意 代码 的 


传播 或 数据 泄露 丢失 等 风险 


平台 管理 脆弱 性 识别 操作 如 下 : 

(1) 评估 方 查阅 被 评估 方 编制 的 安全 管理 和 策略 文档 ， 是 否 恰当 、 明 确 、 具 体 ， 与 应 用 的 
法 律 、 制 度 、 政 策 、 规 章 、 标 准 和 指南 是 否 一 致 ， 并 据 此 对 有 关 人 员 进 行 培训 。 

(2) 评估 方 审查 培训 的 资料 及 培训 记录 ， 是 否 基于 工作 角色 进行 安全 培训 ， 是 否 提高 工作 
人 员 的 安全 意识 。 

(3) 评估 方 审查 被 评估 方 就 工业 控制 系统 签署 的 采购 服务 合同 ， 合 同 中 是 否 描 述 该 工业 控 
制 系统 及 其 部 件 和 服务 中 所 使 用 的 那些 安全 控制 措施 的 功能 特性 信息 ， 及 那些 安全 控制 的 设 
计 和 实现 的 详细 信息 。 

(4) 评估 方 审查 被 评估 方 是 否 对 采购 的 设备 进行 过 安全 评估 。 

(5) 评估 方 查看 被 评估 方 是 否 对 工业 控制 系统 供应 链 进行 过 安全 评估 。 

(6) 评估 方 现场 查看 工业 控制 系统 的 设备 安装 使 用 指导 文件 是 否 缺 失 。 

(7) 评估 方 现场 查看 被 评估 方 的 安全 管理 机 构 设置 、 职 能 部 门 设置 、 岗 位 设置 、 人 员 配 置 
等 是 否 合理 ， 分 工 是 否 明确 ， 职 责 是 否 清晰 ， 工 作 是 否 落 实 ， 以 及 安全 管理 组 织 相关 活动 记 
录 等 文件 。 

(8) 评估 方 审查 人 员 离 职 及 调 离 之 后 是 否 将 与 工业 控制 系统 相关 的 物品 归还 ， 例 如 系统 管 
理 技术 手册 、 密 钥 、 身 份 标识 卡 等 ， 并 消除 其 访问 权 。 被 评估 方 与 离职 人 员 签署 的 离职 协议 
是 否 有 保密 规定 。 
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(9) 评估 方 现场 查看 被 评估 方 的 应 急 计划 、 应 急 培训 记录 、 应 急 预 案 等 。 

(10) 评估 方 现场 查看 工业 控制 系统 的 备用 存储 和 处 理 设备 、 系 统 备份 及 备份 频率 。 被 评 
估 方 是 否 将 备份 数据 存储 在 异地 灾 备 中 心 。 

(11) 评估 方 现场 查看 被 评估 方 是 否 有 系统 恢复 和 重建 实施 方案 ， 可 以 在 规定 的 时 间 内 恢 
复工 业 控 制 系统 。 

(12) 评估 方 查看 被 评估 方 制定 的 审计 范围 和 内 容 ， 是 否 明确 指明 对 哪些 工业 控制 系统 组 
件 进 行 审计 。 

(13) 评估 方 查看 被 评估 方 是 否 对 现场 设备 进行 审计 ， 审 计 是 否 包括 : 用 户 登录 、 退 出 、 
连接 超时 、 配 置 变更 、 日 其 变更、 密码 创 建 和 修改 、 通 信和 异常 等 。 

(14) 评估 方 查看 审计 记录 保存 时 间 和 审查 存储 空间 ， 是 否 可 以 至 少 保留 3 个 月 ， 现 场 设 
备 是 否 至 少 支 持 2048 个 事件 记录 ， 当 空间 不 足 时 是 否 发 出 报警 信息 。 

(15) 评估 方 查看 当 审计 失败 时 ， 是 否 可 以 及 时 地 向 相关 人 员 发 出 警报 ， 并 有 相应 的 应 急 
措施 。 

(16) 评估 方 查看 访问 审计 信息 的 权限 ， 是 否 仅 有 授权 账户 可 以 访问 。 

(17) 评估 方 现场 查看 被 评估 方 是 否 有 配置 管理 文档 支持 配置 管理 的 实施 ， 例 如 配置 管理 
计划 、 系 统 组 件 清单 、 配 置 管理 范围 等 。 

(18) 组 织 的 配置 变更 管理 怎样 实施 ， 是 否 有 配置 变更 申请 表 、 变 更 记录 、 变 更 审计 等 。 

(19) 组 织 配置 变更 之 后 是 否 进行 安全 评估 或 安全 影响 分 析 ， 是 否 有 评估 报告 或 分 析 记 录 。 

(20) 评估 方 现场 查看 被 评估 方 是 否 根据 厂商 供应 商 的 规格 说 明 以 及 被 评估 方 的 管理 要 
求 ， 对 系统 组 件 的 维护 和 修理 进行 规划 、 实 施 、 记 录 ， 并 对 维护 和 修理 记录 进行 评审 ， 并 查 
看 维修 记录 及 评审 记录 。 

(21) 所 有 的 运 维 活动 是 否 经 被 评估 方 审批 和 监督 。 

(22) 被 评估 方 是 否 对 已 批准 异地 运 维 的 设备 ， 删 除 异地 运 维 时 的 存储 资料 。 

(23) 评估 方 现场 查看 ， 采 用 远程 运 维 方式 时 ， 被 评估 方 是 否 对 远程 控制 端口 设置 控制 权 
限 和 控制 时 间 窗 。 

(24) 评估 方 查看 是 否 采 用 默认 用 户 名 及 密码 。 

(25) 是 否 允 许 设备 、 信 息 或 软件 离开 被 评估 方 机 构 场 所 。 


16.5.5 ”网 络 安全 风险 处 理 措施 参考 
表 16-26 是 某 部 门 的 网 络 安全 风险 处 理 措施 。 


表 16-26 某 部 门 风险 处 理 措施 


风险 描述 

务 数据 采用 人 工 方式 备份 数据 到 同城 的 第 二 
i Ws 个 办 公 区 域 ， 定 期 进行 数据 恢复 测试 
生产 指挥 系统 没有 真实 的 应 | 通过 虚拟 机 系统 , 搭建 生产 指挥 系统 的 
备用 系统 ， 并 用 于 进行 应 急 演练 


处 理 措施 


管理 安全 
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续 表 
风险 点 编号 安全 层面 风险 描述 处 理 措施 
采购 更 严格 的 身份 认证 系统 , 并 对 人 员 
机 房 未 对 来 访 人 员 严 格 执行 | 访问 范围 进行 多 个 区 域 的 划分 , 设置 机 
审批 、 登 记 流 程 房 出 入 专人 管理 , 限定 严格 的 审批 和 登 
记 流 程 
没有 对 网 络 中 的 终端 进行 | 采取 技术 手段 , 对 终端 进行 MAC 地 址 
MAC 地 址 绑 定 绑 定 


对 终端 用 户 输入 内 容 验证 不 
严格 ， 造 成 业务 系统 宕 机 与 终端 用 户 签订 《风险 控制 说 明 》 


R3 物理 环境 安全 


R6 
应 用 安全 


口令 验证 机 制 不 严格 ， 允 许 弱 
口令 存在 


R7 采用 双 因 子 认证 方式 , 加 强 口令 的 安全 


未 关闭 Windows 自动 播放 功 
R9 能 ， 恶 意 代码 易 通 过 自动 播放 
功能 散播 病毒 
二 本 存在 匿名 空 连接 ， 空 连接 可 能 
R10 帮助 黑客 远程 枚 举 本 地 账号 ， 

获得 服务 器 控制 权 


16.5.6 人工 智能 安全 风险 分 析 参 考 


人 工 智能 安全 是 指 通过 必要 措施 ， 防 范 对 人 工 智 能 系统 的 攻击 、 侵 入 、 和 干扰 、 破 坏 和 非 
法 利用 以 及 意外 事故 ， 使 人 工 智 能 系统 处 于 稳定 可 靠 的 运行 状态 ， 以 及 遵循 人 工 智 能 以 人 为 
本 、 权 责 一 致 等 安全 原则 ， 保 障 人 工 智能 算法 模型 、 数 据 、 系 统 和 产品 应 用 的 完整 性 、 保 密 
性 、 可 用 性 、 和 鲁 棒 性 、 透 明 性 、 公 平 性 和 保护 隐私 的 能 力 "。 随 着 人 工 智 能 (AI) 技术 的 应 用 
普及 ， 其 安全 风险 问题 随 之 而 来 。 人 工 智 能 安全 风险 分 析 如 下 ”。 


1. 人 工 智 能 训练 数据 安全 风险 
人 工 智能 依赖 于 训练 数据 ， 若 智能 计算 系统 的 训练 数据 污染 ， 则 可 导致 人 工 智能 决策 错误 。 


如 数据 投 毒 可 导致 自动 驾驶 车 辆 违反 交通 规则 甚至 造成 交通 事故 。 研 究 人 员 发 现在 训练 样本 中 挫 
杂 少量 的 恶意 样本 ， 就 能 较 大 限度 地 干扰 AI 模型 准确 率 ， 此 种 攻击 方法 称 为 药 饵 攻 击 。 


2. 人 工 智能 算法 安全 风险 


智能 算法 模型 脆弱 性 ， 使 得 其 容易 受到 人 为 闪避 攻击 、 后 门 攻 击 。 研 究 人 员 发 现 对 抗 样本 
生成 方法 可 诱 使 智能 算法 识别 出 现 错误 判断 。 借 助 一 张 特别 设计 的 打印 图 案 就 可 以 避 开 人 工 知 
能 视频 监控 系统 ， 对 路 标 实体 做 涂改 ， 使 AI 路 标识 别 算法 将 “禁止 通行 ”的 路 标识 别 成 为 “ 限 


禁用 Windows 操作 系统 自动 播放 的 相 
关 服 务 


禁用 Windows 操作 系统 的 默认 共享 ， 
并 设置 强 口令 


Q@ 摘编 自 《 人 工 智能 安全 标准 化 白皮书 (2019 版 ) 》。 
@ 参考 来 源 : 《人 工 智能 安全 白皮书 (2018 年 ) 》( 中 国信 息 通信 研究 院 安全 研究 所 ) 、《AI 安全 白 皮 
书 》 《华为 ) 。 
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速 和 5”; 可 以 在 AI 算法 模型 中 嵌入 后 门 ， 只 有 当 输 入 图 像 中 包含 特定 图 案 才 能 触发 后 门 。 
3. 人 工 智 能 系统 代码 实现 安全 风险 


人 工 智能 系统 和 算法 都 依赖 于 代码 的 正确 实现 。 目 前 ， 开 源 学 习 框 架 存 在 未 知 的 安全 漏 
洞 ， 可 导致 智能 系统 数据 泄露 或 失控 。 例 如 ，TensorFlow、Caffe、Torch 等 深度 学 习 框架 及 其 
依赖 库存 在 安全 漏洞 ，CVE 网 站 上 已 公布 多 个 TensorFlow 的 CVE 漏洞 ， 攻 击 者 可 利用 相关 漏 
洞 算 改 或 窃取 智能 系统 数据 。 


4. 人 工 智能 技术 滥用 风险 


人 工 智能 技术 过 度 采 集 个 人 数据 和 自动 学 习 推 理 服 务 ， 导 致 隐私 泄露 风险 增加 。2018 年 
8 月 ， 腾 讯 安全 团队 发 现 亚马逊 智能 音箱 后 门 ， 可 实现 远程 窃听 并 录音 。 利 用 深度 学 习 挖 气 
分 析 数 据 资源 ， 生 成 逼真 的 虚假 信息 内 容 ， 威 胁 网 络 安全 、 社 会 安全 和 国家 安全 。 网 络 安全 
威胁 者 利用 智能 推荐 算法 ， 识 别 潜在 的 易 攻 击 目标 人 群 ， 投 送 定制 化 的 信息 内 容 和 钓鱼 邮 
件 ， 加 速 不 良 信息 的 传播 和 社会 工程 攻击 精准 性 。 


S. 高 度 自治 智能 系统 导致 社会 安全 风险 


自动 驾驶 、 无 人 机 等 智能 系统 的 非 正常 运行 ， 可 能 直接 危害 人 类 身体 健康 和 生命 安全 。 
例如 ， 开 启 自动 驾驶 功能 的 某 品牌 汽车 无 法 识别 蓝天 背景 下 的 白色 货车 ， 引 发 车 祸 致 驾驶 员 
死亡 事故 。 智 能 机 器 人 广泛 使 用 迫使 大 量 机 械 性 、 重 复 性 的 工作 岗位 减少 ， 引 发 机 器 人 与 自 
然 人 的 就 业 竞争 问题 、 社 会 公平 性 问题 。 


16.6 ”本 章 小 结 


网 络 安全 风险 评估 是 网 络 安全 管理 的 重要 工作 之 一 。 本 章 内 容 包 括 : 第 一 ， 给 出 了 网 络 
安全 风险 评估 的 概念 、 评 估 要 素 和 评估 模式 ， 第 二 ， 归 纳 了 网 络 安全 风险 评估 的 基本 步骤 ， 并 
对 各 步骤 进行 了 说 明 ; 第 三 ， 总 结 了 网 络 安全 风险 评估 的 技术 方法 ， 并 列举 了 相关 工具 ; 第 
四 ， 指 出 了 一 般 网 络 安全 风险 评估 项 目的 工作 流程 ， 并 分 析 了 各 流程 的 具体 内 容 ， 第 五 ， 给 出 
了 网 络 安全 风险 评估 的 应 用 场景 和 参考 案例 。 


明 第 17 章 网 络 安全 应 急 响 应 局 
技术 原理 与 应 用 


17.1 网 络 安全 应 急 响应 概述 


“居安思危 ， 思 则 有 备 ， 有 备 无 患 。” 网 络 安全 应 急 响应 是 针对 潜在 发 生 的 网 络 安全 事件 
而 采取 的 网 络 安全 措施 。 本 节 主 要 阐述 网 络 安全 应 急 响 应 的 概念 、 网 络 安全 应 急 响应 的 发 展 、 
网 络 安全 应 急 响应 的 相关 要 求 。 


17.1.1 网 络 安全 应 急 响 应 概念 


网 络 安全 应 急 响 应 是 指 为 应 对 网 络 安全 事件 ， 相 关 人 员 或 组 织 机 构 对 网 络 安全 事件 进行 监 
测 、 预 警 、 分 析 、 响 应 和 恢复 等 工作 。 尽 管 现在 已 有 许多 网 络 安全 预防 措施 ， 但 随 着 网 络 攻击 方 
法 的 不 断 变化 和 进步 ， 加 上 安全 漏洞 不 断 出 现 、 安 全 管理 疏漏 等 多 方面 因素 ， 对 网 络 系统 构成 的 
威胁 只 增 未 减 。 为 保障 网 络 的 安全 运行 及 信息 安全 ， 必 须 建 立 相应 的 应 急 组 织 、 制 定 网 络 安全 应 
急 计 划 和 采取 网 络 安全 应 急 保障 措施 ， 以 便 及 时 响应 和 处 理 网 络 中 随时 可 能 出 现 的 安全 事件 。 


17.1.2 网络 安全 应 急 响 应 发 展 


1988 年 ， 美 国 发 生 了 “小 黄 里 斯 网 络 蠕虫 ”安全 事件 ， 导 致 上 千 台 计算 机 受到 了 影响 ， 促 
使 美国 政府 成 立 了 世界 上 第 一 个 计算 机 安全 应 急 组 织 CERT。 目 前 ， 网 络 安全 应 急 响 应 机 制 已 
经 成 为 网 络 信息 系统 安全 保障 的 重要 组 成 部 分 。 随 着 网 络 空间 重要 性 的 凸显 ， 各 个 国家 都 先后 
建立 了 网 络 安全 应 急 组 织 机 构 。 同 时 ， 各 大 IT 公司 也 建立 了 网 络 安全 应 急 响 应 组 。FIRST 国际 
性 网 络 安全 应 急 响 应 组 织 也 建立 起 来 ， 其 目标 是 成 为 全 球 公 认 的 应 急 响 应 领导 者 。 加 入 FIRST 
的 成 员 能 够 得 到 最 佳 实践 、 工 具 和 可 信 的 交流 ， 使 得 安全 应 急 响 应 更 加 有 效 。 

目前 ， 国 内 已 经 建立 了 国家 计算 机 网 络 应 急 技 术 处 理 协调 中 心 ， 简 称 “ 国 家 互联 网 应 急 中 
心 ”， 英 文 简称 为 CNCERT 或 CNCERT/CC， 该 中 心 成 立 于 2002 年 9 月 ， 为 非 政府 非 盈利 的 
网 络 安全 技术 协调 组 织 ， 是 中 央 网 络 安全 和 信息 化 委员 会 办 公 室 领 导 下 的 国家 级 网 络 安全 应 急 
机 构 。 作 为 国家 级 应 急 中 心 ，CNCERT 的 主要 职责 是 : 按照 “积极 预防 、 及 时 发 现 、 快 速 响应 、 
力 保 恢复 ”的 方针 ， 开 展 中 国 互联 网 上 网 络 安全 事件 的 预防 、 发 现 、 预 警 和 协调 处 置 等 工作 
以 维护 中 国 公共 互联 网 环境 的 安全 ,保障 关键 信息 基础 设施 的 安全 运行 。CNCERT 通过 组 织 网 
络 安全 企业 、 学 校 、 社 会 组 织 和 研究 机 构 ， 协 调 骨 干 网 络 运营 单位 、 域 名 服务 机 构 和 其 他 应 急 
组 织 等 ， 构 建 中 国 互联 网 安全 应 急 体系 ， 共 同 处 理 各 类 重大 网 络 安全 事件 。CNCERT 积极 发 挥 
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行业 联动 合力 , 发 起 成 立 了 国家 信息 安全 漏洞 共享 平台 (CCNVD)、 中 国 反 网 络 病毒 联盟 (ANVA) 
和 中 国 互联 网 网 络 安全 威胁 治理 联盟 (CCTGA) 。 


17.1.3 网络 安全 应 急 响 应 相关 要 求 


网 络 安全 应 急 响 应 是 网 络 空间 安全 保障 的 重要 机 制 , 《中华 人民 共和 国 网 络 安全 法 》 (第 
五 章 监测 预警 与 应 急 处 置 ) 中 明确 地 给 出 了 相应 的 法 律 要 求 ， 具 体 如 表 17-1 所 示 。 


表 17-1 《中 华人 民 共 和 国 网 络 安全 法 》 关 于 网 络 安全 应 急 响应 的 要 求 

具 体 要 求 
负责 关键 信息 基础 设施 安全 保护 工作 的 部 门 ， 应 当 建立 健全 本 行业 、 本 领域 的 
网 络 安全 监测 预警 和 信息 通报 制度 ， 并 按照 规定 报 送 网 络 安全 监测 预警 信息 
国家 网 信 部 门 协调 有 关 部 门 建立 健全 网 络 安全 风险 评估 和 应 急 工作 机 制 ， 制 定 
网 络 安全 事件 应 急 预 案 ， 并 定期 组 织 演 练 。 负 责 关键 信息 基础 设施 安全 保护 工 
作 的 部 门 应 当 制 定 本 行业 、 本 领域 的 网 络 安全 事件 应 急 预 案 ， 并 定期 组 织 演练 。 
网 络 安全 事件 应 急 预 案 应 当 按照 事件 发 生 后 的 危害 程度 、 影 响 范围 等 因素 对 网 
络 安全 事件 进行 分 级 ， 并 规定 相应 的 应 急 处 置 措施 
发 生 网 络 安全 事件 ， 应 当 立 即 启动 网 络 安全 事件 应 急 预 案 ， 对 网 络 安全 事件 进 
行 调查 和 评估 ， 要 求 网 络 运营 者 采取 技术 措施 和 其 他 必要 措施 ， 消 除 安全 隐患 ， 
防止 危害 扩大 ， 并 及 时 向 社会 发 布 与 公众 有 关 的 警示 信息 


对 于 网 络 安全 应 急 响应 管理 和 技术 要 求 ， 国 家 有 关 部 门 相继 发 布 了 《信息 安全 技术 ”信息 


系统 安全 管理 要 求 》《 信 息 安 全 技术 ”信息 安全 事件 分 类 分 级 指南 》《 信 息 安 全 技术 ”信息 系 
统 灾难 恢复 规范 》 《信息 安全 技术 “灾难 恢复 中 心 建设 与 运 维 管理 规范 》 等 标准 规范 。 


17.2 网络 安 全 应 急 响 应 组 织 建立 与 工作 机 制 


本 节 叙 述 网 络 安全 应 急 响 应 组 织 的 建立 及 工作 机 制 ， 并 给 出 网 络 安全 应 急 响 应 组 织 的 
类 型 。 


17.2.1 网 络 安全 应 急 响 应 组 织 建立 


一 般 来 说 ， 网 络 安全 应 急 响 应 组 织 主要 由 应 急 领导 组 和 应 急 技术 支撑 组 构成 。 领 导 组 的 主 
要 职责 是 领导 和 协调 突 发 事件 与 自然 灾害 的 应 急 指 挥 、 协 调 等 工作 ;技术 支撑 组 的 职责 主要 是 
解决 网 络 安全 事件 的 技术 问题 和 现场 操作 处 理 安 全 事件 。 网 络 安全 应 急 响 应 组 织 的 成 员 通常 由 
管理 、 业 务 、 技 术 、 行 政 后 勤 等 人 员 组 成 ， 成 员 按照 网 络 安全 应 急 工作 的 需要 ， 承 担 不 同 的 应 
急 响 应 工作 。 网 络 安全 应 急 响应 组 织 的 工作 主要 包括 如 下 几 个 方面 

。 ”网 络 安全 威胁 情报 分 析 研 究 ; 

。 ”网 络 安全 事件 的 监测 与 分 析 ; 

。 ”网 络 安全 预警 信息 发 布 ; 


法 律 条 文 
第 五 十 二 条 


第 五 十 三 条 


第 五 十 五 条 
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。 ”网络 安 全 应 急 响应 预案 编写 与 修订 ; 
。 网络 安全 应 急 响应 知识 库 开 发 与 管理 ; 
。 ”网 络 安全 应 急 响 应 演练 ; 

。 ”网 络 安全 事件 响应 和 处 置 ; 

。 ”网 络 安 全 事件 分 析 和 总 结 ; 

。 ”网 络 安全 教育 与 培训 。 


17.2.2 ”网 络 安 全 应 急 响 应 组 织 工 作 机 制 


网 络 安全 应 急 响应 组 织 是 对 组 织 机 构 的 网 络 安全 事件 进行 处 理 、 协 调 或 提供 支持 的 团队 
负责 协调 组 织 机 构 的 安全 紧急 事件 ， 为 组 织 机 构 提 供 计算 机 网 络 安全 的 监测 、 预 警 、 响 应 、 防 
范 等 安全 服务 和 技术 支持 ， 及 时 收集 、 核 实 、 汇 总 、 发 布 有 关 网 络 安全 的 权威 性 信息 ， 并 与 国 
内 外 计算 机 网 络 安全 应 急 响 应 组 织 进行 合作 和 交流 。 


17.2.3 网络 安 全 应 急 响 应 组 织 类 型 


根据 资金 的 来 源 、 服 务 的 对 象 等 多 种 因素 , 应 急 响 应 组 分 成 以 下 几 类 : 公益 性 应 急 响应 组 、 
内 部 应 急 响 应 组 、 商 业 性 应 急 响 应 组 、 厂 商 应 急 响 应 组 。 不 同类 型 的 网 络 安全 应 急 响应 组 织 的 
关系 如 图 17-1 所 示 。 


国际 间 的 
协调 组 织 如 : CERT/CC 


国内 的 
协调 组 织 


国内 的 
协调 组 织 


如 : CNCERT/CC 


ey 2 组 织 内 部 
商业 性 IRT 公益 性 IRT TR 
如 ; 安全 服务 公司 | 如 : CCERT 如 : CISCO,IBM | 
愿意 付费 的 | 网 络 接 组 织 内 
任何 用 户 入 用 户 部 用 户 


图 17-1 不 同类 型 网 络 安全 应 急 响 应 组 织 相互 关系 示意 图 


1. 公益 性 应 急 响应 组 


这 类 响应 组 由 政府 和 公益 性 机 构 资 助 ， 对 社会 所 有 用 户 提供 公共 服务 。 公 益 性 的 应 急 响应 
组 织 一 般 提供 如 下 服务 : 

。 ”对 计算 机 系统 和 网 络 安全 事件 的 处 理 提供 技术 支持 和 指导 ; 

。 网络 安全 漏洞 或 隐患 信息 的 通告 、 分 析 ; 

。 ”网 络 安全 事件 统计 分 析 报 告 ; 

。 ”网 络 安全 事件 处 理 相关 的 培训 。 
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2. 内 部 应 急 响 应 组 


内 部 应 急 响应 组 由 一 个 组 织 机 构 创 建 和 资助 ， 服 务 对 象 仅 限于 本 组 织 内 部 的 客户 群 。 内 部 
响应 组 可 以 提供 现场 的 事件 处 理 、 分 发 安全 软件 和 漏洞 补丁 、 培 训 和 技术 支持 等 服务 ， 另 外 还 
可 以 参与 组 织 安全 政策 的 制定 、 审 查 等 。 


3. 商业 性 应 急 响 应 组 

商业 性 应 急 响 应 组 根据 客户 的 需要 ， 为 客户 提供 技术 、 程 序 、 调 查 、 法 律 支持 等 服务 。 商 
业 服 务 的 特点 在 于 服务 质量 保障 ， 在 突 发 的 安全 事件 发 生 时 及 时 响应 ， 应 急 响 应 组 甚至 提供 
7x24 小 时 的 服务 ， 现 场 处 理事 件 等 。 

4. 厂商 应 急 响 应 组 


厂商 应 急 响 应 组 一 般 只 为 自己 的 产品 提供 应 急 响应 服务 ， 同 时 也 为 公司 内 部 成 员 提 供 安 全 事 
件 处 理 和 技术 支持 。 许 多 软件 厂商 和 互联 网 公司 等 都 成 立 了 应 急 响 应 组 织 , 例如 阿里 安全 响应 中 心 、 
京东 安全 应 急 响 应 中 心 、360 安全 应 急 响 应 中 心 、Microsoft Security Response Center 等 。 


17.3 ”网络 安全 应 急 响 应 预案 内 容 与 类 型 


本 节 主 要 为 网 络 安全 事件 的 分 类 分 级 情况 及 网 络 安全 应 急 响应 预案 的 内 容 与 类 型 。 
17.3.1 网络 安全 事件 类 型 与 分 级 


2017 年 中 央 网 信 办 发 布 《国家 网 络 安全 事件 应 急 预 案 》， 其 中 把 网 络 信息 安全 事件 分 为 恶 
意 程序 事件 、 网 络 攻击 事件 、 信 息 破 坏事 件 、 信 息 内 容 安 全 事件 、 设 备 设施 故障 、 灾 害 性 事件 
和 其 他 信息 安全 事件 等 7 个 基本 分 类 。 

根据 网 络 安全 事件 对 国家 安全 、 社 会 秩序 、 经 济 建设 和 公众 利益 的 影响 程度 ， 可 以 将 网 络 
安全 事件 分 为 四 级 : 特别 重大 网 络 安全 事件 、 重 大 网 络 安全 事件 、 较 大 网 络 安全 事件 和 一 般 网 
络 安全 事件 ， 如 表 17-2 所 示 。 


表 17-2 国家 网 络 安 全 事件 等 级 划分 


网 络 安全 事件 级 别 网 络 安全 事件 特征 描述 
符合 下 列 情形 之 一 : 
@ 重要 网 络 和 信息 系统 遵 受 特别 严重 的 系统 损失 ， 造 成 系统 大 面积 瘫 闪 ， 表 
二 失业 务 处 理 能 力 
ee @ ”国家 秘密 信息 、 重 要 敏感 信息 和 关键 数据 丢失 或 被 窃取 、 算 改 、 假 冒 ， 对 
国家 安全 和 社会 稳定 构成 特别 严重 威胁 


@ 其 他 对 国家 安全 、 社 会 秩序 、 经 济 建设 和 公众 利益 构成 特别 严重 威胁 、 造 
成 特别 严重 影响 的 网 络 安全 事件 
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续 表 

网 络 安全 事件 级 别 网 络 安全 事件 特征 描述 

符合 下 列 情形 之 一 且 未 达到 特别 重大 网 络 安全 事件 的 ， 为 重大 网 络 安全 事件 : 

@ 重要 网 络 和 信息 系统 遭受 严重 的 系统 损失 ， 造 成 系统 长 时 间 中 断 或 局 部 瘫 
痪 ， 业 务 处 理 能 力 受 到 极 大 影响 

重大 网 络 安全 事件 ”| @ 国家 秘密 信息 、 重 要 敏感 信息 和 关键 数据 丢失 或 被 窃取 、 自 改 、 假 冒 ， 对 
国家 安全 和 社会 稳定 构成 严重 威胁 

@ 其 他 对 国家 安全 、 社 会 秩序 、 经 济 建设 和 公众 利益 构成 严重 威胁 、 造 成 严 
重 影响 的 网 络 安全 事件 

符合 下 列 情形 之 一 且 未 达到 重大 网 络 安全 事件 的 ， 为 较 大 网 络 安全 事件 : 

@ 重要 网 络 和 信息 系统 遭受 较 大 的 系统 损失 ， 造 成 系统 中 断 ， 明 显影 响 系 统 
效率 ， 业 务 处 理 能 力 受到 影响 

较 大 网 络 安全 事件 ”| @ 国家 秘密 信息 、 重 要 敏感 信息 和 关键 数据 丢失 或 被 窃取 、 算 改 、 假 冒 ， 对 
国家 安全 和 社会 稳定 构成 较 严 重 威胁 

@ ”其 他 对 国家 安全 、 社 会 秩序 、 经 济 建设 和 公众 利益 构成 较 严 重 威胁 、 造 成 
较 严 重 影响 的 网 络 安全 事件 

对 国家 安全 、 社 会 秩序 、 经 济 建设 和 公众 利益 构成 一 定 威胁 、 造 成 一 定 影响 的 

网 络 安全 事件 


17.3.2 ”网 络 安全 应 急 响 应 预案 内 容 


网 络 安全 应 急 响应 预案 是 指 在 突 发 紧急 情况 下 ， 按 事先 设想 的 安全 事件 类 型 及 意外 情形 ， 
制定 处 理 安全 事件 的 工作 步骤 。 一 般 来 说 ， 网 络 安全 应 急 响 应 预案 的 基本 内 容 如 下 : 

。 ”详细 列 出 系统 紧急 情况 的 类 型 及 处 理 措施 。 

。 事件 处 理 基本 工作 流程 。 

。 应 急 处 理 所 要 采取 的 具体 步骤 及 操作 顺序 。 

。 ”执行 应 急 预 案 有 关 人 员 的 姓名 、 住 址 、 电 话 号 码 以 及 有 关 职 能 部 门 的 联系 方法 。 


17.3.3 ”网 络 安全 应 急 响 应 预案 类 型 


按照 网 络 安全 应 急 响应 预案 覆盖 的 管理 区 域 ， 可 以 分 为 国家 级 、 区 域 级 、 行 业 级 、 部 门 级 
等 网 络 安全 事件 应 急 预 案 。 不 同 级 别 的 网 络 安全 应 急 响应 预案 规定 的 具体 要 求 不 同 ， 管 理 层 级 
高 的 预案 偏向 指导 ， 而 层级 较 低 的 预案 侧重 于 网 络 安全 事件 的 处 置 操作 规程 。 

目前 ， 国 家 相关 部 门 、 地 方 政府 、 行 业 机 构 都 已 经 陆续 开展 网 络 安全 应 急 响应 机 制 的 基础 
性 工作 。 国 家 有 关 部 门 已 经 颁布 了 《国家 网 络 安全 事件 应 急 预案 》《 公 共 互 联网 网 络 安全 突 发 
事件 应 急 预 案 》。 上 海 市 发 布 了 《上 海 市 网 络 与 信息 安全 事件 专项 应 急 预 案 (2014 版 ) 》。 相 
关内 容 可 以 参见 政府 部 门 网 站 。 

网 络 安全 应 急 响应 要 根据 网 络 信息 系统 及 业务 特点 ， 制 订 更 具体 化 的 应 急 响应 预案 ， 一 般 
要 求 针 对 特定 的 网 络 安全 事件 给 出 具体 处 置 操 作 ， 如 恶意 代码 应 急 预 案 、 网 络 设备 故障 应 急 预 
案 、 机 房 电 力 供应 中 断 应 急 预 案 、 网 站 网 页 算 改 应 急 预 案 等 。 下 面 给 出 核心 业务 系统 、 门 户 网 


一 般 网 络 安全 事件 
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站 、 外 部 电源 中 断 、 黑 客 入 侵 等 应 急 处 置 程序 参考 模板 ”。 
1. 核心 业务 系统 中 断 或 硬件 设备 故障 时 的 应 急 处 置 程序 ( 工 级 ) 
事件 触发 : 当 发 现 核心 业务 系统 中 断 或 硬件 设备 故障 时 ， 启 动 [ 级 处 置 程序 。 具 体 应急 操 


作 如 下 : 


2 


迅速 判断 故障 节点 ， 启 用 备用 设备 或 线路 。 

如 防火 墙 发 生 故 障 ， 将 防火 墙 最 近 一 次 配置 备份 文件 导入 备用 防火 墙 中 ， 然 后 将 故障 
设备 蔡 换 为 备用 设备 ， 设 备 蔡 换 完成 之 后 ， 首 先 检查 网 络 的 连通 性 ， 确 认 能 够 正常 访 
问 业 务 系统 ， 然 后 再 检查 防火 墙 的 状态 及 策略 是 否 正常 。 

如 因 交 换 机 发 生 故 障 ， 启 用 备用 设备 ， 将 故障 交换 机 的 备份 配置 文件 导入 备用 设备 ， 
然后 检查 各 用 户 的 网 络 访问 是 否 正 常 。 

如 发 生 属于 上 级 信息 网 络 管理 部 门 的 网 络 故 障 ， 立 即 向 上 级 信息 网 络 管理 部 门 报 障 ， 
要 求 尽快 恢复 网 络 运行 。 


. 门户 网 站 及 托管 系统 遭 到 完整 性 破坏 时 的 应 急 处 置 程序 〈( 工 级 ) 


事件 触发 : 当 发 现 门户 网 站 或 本 单位 在 互联 网 上 运行 的 其 他 业务 网 站 内 容 被 算 改 或 遭 破 坏 
性 攻击 (包括 严重 病毒 ) 时 ， 启 动 [ 级 处 置 程序 。 具 体 应 急 操作 如 下 : 
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立即 断 开 网 站 与 互联 网 的 连接 ， 并 停止 系统 运行 。 

首先 将 被 攻击 或 被 病毒 感染 ) 的 服务 器 等 设备 从 网 络 中 隔离 出 来 ， 保 护 好 现场 。 
由 网 站 及 相关 业务 系统 人 员 负 责 恢复 与 重建 被 攻击 或 被 破坏 的 系统 ， 恢 复 系统 数据 。 
追查 非法 信息 来 源 ， 向 上 级 主管 部 门 或 公安 部 门 报警 。 


. 外 网 系统 遭遇 黑客 入 侵 攻 击 时 的 应 急 处 置 程序 《1 级) 


事件 触发 ， 当 发 现 门户 网 站 、 电 子 邮 件 系 统 等 遭遇 黑客 入 侵 攻击 时 ， 启 动 攻 级 处 置 程序 。 
具体 应 急 操 作 如 下 : 


立即 断 开 网 站 和 相关 系统 与 互联 网 的 连接 。 

使 用 防火 墙 对 攻击 来 源 进行 封 堵 。 

记录 当前 连接 情况 ， 保 存 相 关 日 志 。 

向 上 级 主管 部 门 或 网 监 部 门 报警 。 

在 强化 安全 防范 措施 的 基础 上 ， 修 复 网 站 或 相关 系统 后 ， 将 其 重新 投入 使 用 。 


. 外 网 系统 遭遇 拒绝 服务 攻击 时 的 应 急 处 置 程序 《1 级) 


事件 触发 : 当 发 现 门户 网 站 、 电 子 邮 件 系统 等 互联 网 业务 网 站 遭遇 拒绝 服务 攻击 时 ， 启 动 


@ ”摘编 自 《 信 息 安全 技术 政府 部 门 信息 安全 管理 基本 要 求 : 补 篇 信息 安全 管理 制度 参考 模板 (征求 意 


见 稿 ) 》。 


第 17 章 ， 网 络 安全 应 急 响应 技术 原理 与 应 用 “ 国 359 苦 


开 级 处 置 程序 。 具 体 应 急 操 作 如 下 : 
。 ”使 用 防火 墙 对 攻击 来 源 进行 封 堵 。 
。 ”更改 DNS 解析 ， 将 拒绝 服务 攻击 分 流 。 
。 ”记录 当前 连接 情况 ， 保 存 相关 日 志 。 
。 ”通过 以 上 程序 仍 无 法 解决 时 ， 即 断 开 网 站 与 互联 网 的 连接 ， 并 向 上 级 主管 部 门 或 公安 
部 门 报警 。 
。 ”在 互联 网 管理 部 门 和 公安 部 门 的 协助 下 解决 此 项 应 急 工 作 。 


5. 外 部 电源 中 断后 的 应 急 处 置 程序 〈 1| 级) 


事件 触发 ， 当 发 现 外 部 电源 中 断 故 障 时 ， 启 动工 级 处 置 程序 。 具 体 应 急 操 作 如 下 

。 ”手动 切换 至 备用 供电 线路 。 

。 ”立即 查 明 断 电 原 因 。 

。 ”如 因 局 内 部 线路 故障 ， 迅 速 联系 物业 管理 部 门 恢复 供电 。 

。 ”预计 停电 1 小 时 以 内 ， 由 UPS 供电 《适用 无 备用 供电 线路 的 情况 ) 。 

。 ”停电 超过 1 小 时 ， 关 闭 网 络 设 备 、 服 务 器 、 精 密 空调 、UPS 电源 设备 和 配 电 柜 总 开关 
等 设备 ， 并 关闭 机 房 所 有 设备 。 


17.4 常见 网 络 安全 应 急事 件 场景 与 处 理 流程 


本 节 阐 述 内 容 主要 包括 网 络 安全 应 急 处 理 场景 、 网 络 安全 应 急 处 理 流程 、 网 络 安全 事件 应 
急 演 练 。 


17.4.1 常见 网 络 安全 应 急 处 理 场景 


1.。 恶意 程序 事件 
恶意 程序 事件 通常 会 导致 计算 机 系统 响应 缓慢 、 网 络 流量 异常 ， 主 要 包括 计算 机 病毒 、 网 


络 蠕虫 、 特 洛 伊 木马、 僵尸 网 络 。 对 恶意 程序 破坏 性 营 延 的 ， 由 应 急 响应 组 织 进 行 处 置 ， 可 以 
协调 外 部 组 织 进行 技术 协助 ， 分 析 有 害 程序 ， 保 护 现场 ， 必 要 时 切断 相关 网 络 连接 。 


2. 网 络 攻击 事件 


。 ”安全 扫描 器 攻击 : 黑客 利用 扫描 器 对 目标 系统 进行 漏洞 探测 。 
。 ”暴力 破解 攻击 : 对 目标 系统 账号 密码 进行 暴力 破解 ， 获 取 后 台 管 理 员 权限 。 
。 系统 漏洞 攻击 : 利用 操作 系统 /应 用 系统 中 存在 的 漏洞 进行 攻击 。 
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3. 网 站 及 Web 应 用 安全 事件 


网 页 算 改 : 网 站 页 面 内 容 非 授权 算 改 或 错误 操作 。 

网 页 挂 马 : 利用 网 站 漏洞 ， 制 作 网 页 木马 。 

非法 页 面 : 存在 赌博 、 色 情 、 钓 鱼 等 不 良 网 页 。 

Web 漏洞 攻击 : 通过 SQL 注入 漏洞 、 上 传 漏洞 、XSS 漏洞 、 越 权 访问 漏洞 等 各 种 Web 

漏洞 进行 攻击 。 

。 ”网 站 域名 服务 动 持 : 网 站 域名 服务 信息 遭受 破坏 ， 使 得 网 站 域名 服务 解析 指向 恶意 的 
网 站 。 

4. ”拒绝 服务 事件 


。 DDoS: 攻击 者 利用 TCP/IP 协议 漏洞 及 服务 器 网 络 带宽 资源 的 有 限 性 ， 发 起 分 布 式 拒 
绝 服务 攻击 。 
。 DoS: 服务 器 存在 安全 漏洞 ， 导 致 网 站 和 服务 器 无 法 访问 ， 业 务 中 断 ， 用 户 无 法 访问 。 


17.4.2 网络 安全 应 急 处 理 流程 


应 急事 件 处 理 一 般 包括 安全 事件 报警 、 安 全 事件 确认 、 启 动 应 急 预 案 、 安 全 事件 处 理 、 所 
写 安全 事件 报告 、 应 急 工作 总 结 等 步骤 。 
第 一 步 ， 安 全 事件 报警 。 发 生 紧急 情况 时 ， 由 值班 工作 人 员 及 时 报告 。 报 警 人 员 要 准确 描 
述 安全 事件 ， 并 做 书面 记录 。 根 据 安全 事件 的 类 型 ， 各 安全 事件 按 呈 报 条 例 依次 报告 1- 值 班 人 
员 、2- 应 急 工作 组 长 、3- 应 急 领 导 小 组 。 
第 二 步 ， 安 全 事件 确认 。 应 急 工作 组 长 和 应 急 领 导 小 组 接 到 安全 报警 之 后 ， 首 先 应 当 判 断 
安全 事件 的 类 型 ， 然 后 确定 是 否 启 动 应 急 预 案 。 
第 三 步 ， 启 动 应 急 预 案 。 应 急 预 案 是 充分 考虑 各 种 安全 事件 后 ， 制 定 的 应 急 处 理 措施 ， 
以 便 在 紧急 情况 下 ， 及 时 有 效 地 应 付 各 类 安全 事件 。 必 须 避 免 在 紧急 情况 下 ， 找 不 到 应 急 预 
案 ， 或 无 法 启动 应 急 预 案 的 情况 。 
第 四 步 ， 安 全 事件 处 理 。 安 全 事件 处 理 是 一 件 复杂 的 工作 ， 要 求 至 少 两 人 参加 ， 所 处 理 的 
工作 主要 包括 如 下 内 容 : 
。 ”准备 工作 : 通知 相关 人 员 ， 交 换 必要 的 信息 。 
。 检测 工作 : 对 现场 做 快照 ， 保 护 一 切 可 能 作为 证 据 的 记录 〈 包 括 系统 事件 、 事 故 处 理 
者 所 采取 的 行动 、 与 外 界 沟通 的 情况 等 ) 。 

。 ”抑制 工作 : 采取 围 堵 措施 ， 尽 量 限制 攻击 涉及 的 范围 。 

。 ”根除 工作 : 解决 问题 ， 根 除 隐患 ， 分 析 导 致 事故 发 生 的 系统 脆弱 点 ， 并 采取 补救 措 
施 。 需 要 注意 的 是 ， 在 清理 现场 时 ， 一 定 要 采集 保存 所 有 必要 的 原始 信息 ， 对 事故 
进行 存档 。 
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。 ”恢复 工作 : 恢复 系统 ， 使 系统 正常 运行 。 

。 ”总 结 工作 : 提交 事故 处 理 报告 。 

第 五 步 ， 撰 写 安 全 事件 报告 。 根 据 事件 处 理工 作 记 录 和 所 搜集 到 的 原始 数据 ， 结 合 专家 的 
安全 知识 ， 完 成 安全 事件 报告 的 撰写 。 安 全 事件 报告 包括 如 下 内 容 : 

。 ”安全 事件 发 生 的 日 期 ; 

。 参加 入 员 ; 

。 ”事件 发 现 的 途径 ; 

。 ”事件 类 型 ; 

。 事件 涉及 的 范围 ; 

。 ”现场 记录 ; 

。 事件 导致 的 损失 和 影响 ; 

。 ”事件 处 理 的 过 程 ; 

。 ”从 本 次 事故 中 应 该 吸取 的 经 验 与 教训 。 

第 六 步 ， 应 急 工作 总 结 。 召 开 应 急 工作 总 结 会 议 ， 回 顾 应 急 工作 过 程 中 所 遇 到 的 问题 ， 分 
析 问 题 引 起 的 原因 ， 并 找 出 相应 的 解决 方法 。 


17.4.3 网络 安 全 事件 应 急 演练 


网 络 安全 事件 应 急 演练 是 对 假定 的 网 络 安全 事件 出 现 情况 进行 模拟 响应 ， 以 确认 应 急 响应 
工作 机 制 及 网 络 安全 事件 预案 的 有 效 性 。 

网 络 安全 事件 应 急 演练 的 类 型 按 组 织 形式 划分 ， 可 分 为 桌面 应 急 演练 和 实战 应 急 演练 ， 按 
内 容 划 分 ,可 分 为 单项 应 急 演练 和 综合 应 急 演练 ; 按 目的 与 作用 划分 , 可 分 为 检验 性 应 急 演练 、 
示范 性 应 急 演练 和 研究 性 应 急 演练 。 具 体 情况 参见 表 17-3 。 


表 17-3 网 络 安全 事件 应 急 演练 的 类 型 及 特征 


划分 依据 简 述 
桌面 应 急 演练 是 指 参 演 人 员 利 用 地 图 、 沙 盘 、 流 程 图 、 计 算 机 模 
拟 、 视 频 会 议 等 辅助 手段 ， 针 对 事先 假定 的 演练 情景 ， 讨 论 和 推 
桌面 应 急 演练 ”| 演 应 急 决 策 及 现场 处 置 的 过 程 ， 从 而 促进 相关 人 员 掌 握 应 急 预 案 
中 所 规定 的 职责 和 程序 ， 提 高 指挥 决策 和 协同 配合 能 力 。 桌 面 应 
急 演练 通常 在 室内 完成 
实战 应 急 演练 是 指 参 演 人 员 利 用 应 急 处 置 涉 及 的 设备 和 物资 ， 针 
对 事先 设置 的 突 发 网 络 安全 事件 情景 及 其 后 续 的 发 展 情景 ， 通 过 
实战 应 急 演练 ”| 实际 决策 、 行 动 和 操作 ， 完 成 真实 应 急 响应 的 过 程 ， 从 而 检验 和 
提高 相关 人 员 的 临场 组 织 指挥 、 队 伍 调动 、 应 急 处 置 技能 和 后 勤 
保障 等 应 急 能 力 。 实 战 应 急 演练 通常 要 在 特定 场所 完成 
单项 应 急 演练 是 指 只 涉及 应 急 预 案 中 特定 应 急 响 应 功能 或 现场 处 
内 容 单项 应 急 演练 ”| 置 方案 中 一 系列 应 急 响 应 功能 的 演练 活动 。 注 重 针 对 演练 单位 ( 岗 
位 ) 的 特定 环节 和 功能 进行 检验 


组 织 形 式 
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续 表 

划分 依据 演练 类 型 简 述 
综合 应 急 演练 是 指 涉及 应 急 预案 中 多 项 或 全 部 应 急 响 应 功能 的 演 
内 容 综合 应 急 演练 ”| 练 活动 。 注 重 对 多 个 环节 和 功能 进行 检验 ， 特 别 是 对 不 同 单位 之 


间 应 急 机 制 和 联合 应 对 能 力 的 检验 

检验 性 应 急 演练 是 指 为 检验 应 急 预 案 的 可 行 性 、 应 急 准备 的 充分 
性 、 应 急 机 制 的 协调 性 及 相关 人 员 的 应 急 处 置 能 力 而 组 织 的 演练 
示范 性 应 急 演练 是 指 为 向 观摩 人 员 展 示 应 急 能 力 或 提供 示范 教 
学 ， 严 格 按照 应 急 预 案 规定 开展 的 示范 性 演练 

研究 性 应 急 演练 是 指 为 研究 和 解决 突 发 事件 应 急 处 置 的 重点 、 难 
点 问题 ， 试 验 新 方案 、 新 技术 、 新 装备 而 组 织 的 演练 


网 络 安全 事件 应 急 演练 的 一 般 流程 是 制定 应 急 演练 工作 计划 ,编写 应 急 演练 具体 方案 , 组 
织 实 施 应 急 演 练 方 案 ， 最 后 评估 和 总 结 应 急 演练 工作 ， 优 化 改进 应 急 响 应 机 制 及 应 急 预 案 。 目 
前 ， 随 着 网 络 安全 事件 的 频繁 出 现 ， 和 名 个 国家 都 非常 重视 网 络 安全 应 急 演练 工作 。 美 国 多 年 来 
持续 开展 国家 级 网 络 空间 风暴 〈Cyber Storm) ， 以 检验 联邦 机 构 、 州 机 构 、 私 营 部 门 、 国 际 组 
织 对 安全 事件 的 响应 情况 。 英 国 国 家 网 络 安全 中 心 (NCSC) 推出 测试 网 络 能 力 的 工具 Exercise 
ina Box, 旨 在 帮助 相关 机 构 防范 和 抵御 网 络 攻击 , 在 安全 环境 中 演练 对 关键 网 络 安全 事件 的 响 
应 。 国 内 外 也 开展 网 络 安全 比赛 ， 如 CTF( 夺 旗 比赛 / 红 蓝 对 抗 赛 ) 。 针 对 网 络 安全 应 急 响 应 实 
际 需求 ， 国 内 安全 厂商 都 相继 推出 了 网 络 攻防 实验 平台 ， 可 以 提供 网 络 安全 应 急 演 练 服务 。 


17.5 网 络 安全 应 急 响 应 技术 与 常见 工具 


检验 性 应 急 演练 


目的 与 作用 | 示范 性 应 急 演练 


研究 性 应 急 演练 


网 络 安全 应 急 响 应 是 各 种 技术 的 综合 应 用 及 网 络 安全 管理 活动 的 协作 。 本 节 主 要 阐述 常见 的 
网 络 安全 应 急 响 应 技术 ,包括 访问 控制 、 网 络 安全 评估 、 网 络 安全 监测 、 系 统 恢复 、 入 侵 取证 等 。 


17.5.1 网 络 安全 应 急 响 应 技术 概况 


网 络 安全 应 急 响应 是 一 个 复杂 的 过 程 ， 需 要 综合 应 用 多 种 技术 和 安全 机 制 。 在 网 络 安全 应 
急 响 应 过 程 中 ， 常 用 到 的 技术 如 表 17-4 所 示 。 


表 17-4 ”应急 响应 常用 技术 分 类 表 


应 急 技术 类 型 
访问 控制 | 攻击 阻 断 ， 用 于 网 络 安全 事件 处 置 


网 络 安全 评估 | 反击 双 及 系统 太 ， 用 于 问 络 安全 于 伯 时 


参考 实例 


防火 墙 
漏洞 扫描 
木马 检测 
系统 启动 盘 
灾 备 系统 启用 
网 络 协议 分 析 器 、 入 侵 检 测 系 统 
网 络 追 踪 及 硬盘 克隆 


系统 恢复 | 人 和 有 条 统 ， 用 于 网 络 安全 事件 事 后 外 时 


网 络 安全 监测 | 实时 分 析 系统 、 网 络 活动 , 用 于 网 络 安全 事件 事前 监测 预警 
入 侵 取 证 追究 入 侵 者 的 法 律 责 任 ， 用 于 网 络 安全 事件 处 置 
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17.5.2 访问 控制 

访问 控制 是 网 络 安全 应 急 响 应 的 重要 技术 手段 ， 其 主要 用 途 是 控制 网 络 资源 不 被 非法 访 
问 ， 限 制 安全 事件 的 影响 范围 。 根 据 访问 控制 的 对 象 的 不 同 ， 访 问 控制 的 技术 手段 主要 有 网 络 
访问 控制 、 主 机 访问 控制 、 数 据 库 访问 控制 、 应 用 服务 访问 控制 等 。 这 些 访问 控制 手段 可 以 通 
过 防火 墙 、 代 理 服务 器 、 路 由 器 、VLAN、 用 户 身份 认证 授权 等 来 实现 。 
17.5.3 ”网 络 安全 评估 


网 络 安全 评估 是 指 对 受害 系统 进行 分 析 ， 获 取 受 害 系统 的 危害 状况 。 目 前 ， 网 络 安全 评估 
的 方法 主要 有 以 下 几 种 。 

1. 恶意 代码 检测 

利用 恶意 代码 检测 工具 分 析 受 害 系 统 是 否 安装 了 病毒 、 木 马 、 蠕 虫 或 间谍 软件 。 常 用 的 恶 


意 代码 检测 工具 主要 有 了 D 盾 _Web 查 杀 (英文 名 WebShellIKill) 、chkrootkit、tkhunter 以 及 360 
杀毒 工具 等 。 图 17-2 显示 了 使 用 D 盾 _Web 查 杀 来 检测 Web 木马 的 过 程 。 


的 窟 Ea 后门 请 葡 :5 TO5TICir BO) 
的 剖 )Era 后 门 请 数 :5 FSTchr SO 
的 总 Eu 后门 二 歼 :5 .YoSTchr SO 


EralS 门 佬 数 3_F0ST[11167} 

(的 关 ]Eru 后 门 伟 儿 :5_POST[Clz SO 
(的 疙 jEvl 拓 门 堵 攻 :$_POSTIChz BO) 
+ 的 闪 ]Ezu 后 门 才 到 :$_PISTIChr S071} 
《4 val 后 门 二 多 了 POSTTT542240) 


总 jer 所 站 
hochd ur 本 到 


图 17-2 使 用 DD 盾 _Web 查 杀 检 测 木马 示意 图 


2. 漏洞 扫描 


通过 漏洞 扫描 工具 检查 受害 系统 所 存在 的 漏洞 ， 然 后 分 析 漏 洞 的 危害 性 。 常 用 的 漏洞 扫描 
工具 主要 有 端口 扫描 工具 Nmap、Nessus 等 。 
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3. 文件 完整 性 检查 


文件 完整 性 检查 的 目的 是 发 现 受害 系统 中 被 自 改 的 文件 或 操作 系统 的 内 核 是 否 被 蔡 换 。 例 
如 ， 在 UNIX 系统 上 ， 容 易 被 特洛伊 木马 代替 的 二 进 制 文件 通常 有 : telnet、in.telnetd、login、 
su、ftp、ls、ps、netstat、ifconfig、find、du、df、libce、sync、inetd 和 syslogd。 除 此 之 外 ， 工 
作 人 员 还 需要 检查 所 有 被 /etc/inetd.conf 文件 引用 的 文件 ， 重 要 的 网 络 和 系统 程序 以 及 共享 库 文 
件 。 因 此 ， 对 于 UNIX 系统 ， 网 络 管理 员 可 使 用 cmp 命令 直接 把 系统 中 的 二 进 制 文件 和 原始 发 
布 介质 上 对 应 的 文件 进行 比较 。 或 者 利用 MD5 工具 进行 Hash 值 校 验 ， 其 方法 是 向 供应 商 获 取 
其 发 布 的 二 进 制 文件 的 Hash 值 ， 然 后 使 用 MD5 工具 对 可 疑 的 二 进 制 文件 进行 检查 。 


4. 系统 配置 文件 检查 


攻击 者 进入 受害 系统 后 ， 一 般 会 对 系统 文件 进行 修改 ， 以 利于 后 续 攻击 或 控制 。 网 络 管理 
员 通过 对 系统 配置 文件 检查 分 析 ， 可 以 发 现 攻击 者 对 受害 系统 的 操作 。 例如, 在 UNIX 系统 中 ， 
网 络 管理 员 需 要 进行 下 列 检查 : 

。 ”检查 /etc/passwd 文件 中 是 否 有 可 疑 的 用 户 。 

。 ”检查 /etc/inet.conf 文件 是 否 被 修改 过 。 

。 ”检查 /etc/services 文件 是 否 被 修改 过 。 

。 ”检查 rf 命 令 配置 /etc/hosts.equiv 或 者 .rhosts 文件 。 

。 ”检查 新 的 SUID 和 SGID 文件 , 使 用 find 命令 找 出 系统 中 的 所 有 SUID 和 SGID 文件 , 如 下 : 


#find / ( -perm -004000 -o -perm -002000 ) -type f£ -print 


对 于 Windows 系统 ， 除 了 利用 系统 自 带 的 事件 查看 器 之 外 ， 还 可 以 使 用 第 三 方 安全 工具 ， 
如 PCHunter、 火 绒 剑 等 。 如 图 17-3 所 示 ， 通 过 使 用 火绒 剑 检查 Windows 系统 的 进程 状况 。 


17-3 ”使 用 火绒 剑 检查 Windows 系统 状况 示意 图 
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S. 网 卡 混杂 模式 检查 


网 卡 混杂 模式 检查 的 目的 是 确认 受害 系统 中 是 否 安装 了 网 络 嗅 探 器 。 由 于 网 络 嗅 探 器 可 以 
监视 和 记录 网 络 信息 ， 入 侵 者 通常 会 使 用 网 络 嗅 探 器 获得 网 络 上 传输 的 用 户 名 和 密码 。 目 前 
已 有 软件 工具 可 以 检测 系统 内 的 网 络 嗅 探 器 ， 例 如 UNIX 平台 下 的 CPM (Check Promiscuous 
Mode) 、ifstatus 等 。 


6. 文件 系统 检查 


文件 系统 检查 的 目的 是 确认 受害 系统 中 是 否 有 入 侵 者 创建 的 文件 。 一 般 来 说 ， 入 侵 者 会 在 
受害 系统 中 建立 隐藏 目录 或 隐藏 文件 ， 以 利于 后 续 入 侵 。 例如， 入 侵 者 把 特洛伊 木马 文件 放 在 /dev 
目录 中 ， 因 为 系统 管理 员 通 常 不 去 查看 该 目录 ， 从 而 可 以 避免 木马 被 发 现 。 因 此 ， 在 进行 文件 
系统 检查 时 ， 应 特别 检查 一 些 名 字 非 常 奇怪 的 目录 和 文件 ， 例 如 : … 《三 个 点 ) 、.. 《两 个 点 ) 
以 及 空白 。 


7. 日 志文 件 审查 


审查 受害 系统 的 日 志文 件 ， 可 以 让 应 急 响 应 人 员 掌握 入 侵 者 的 系统 侵入 途径 、 入 侵 者 的 执 
行 操作 。 以 UNIX/Linux 系统 为 例 , 通过 utmp 日 志文 件 , 可 以 确定 当前 哪些 用 户 登录 受害 系统 ， 
并 可 以 利用 who 命令 读 出 其 中 的 信息 。 常 用 于 UNIX/Linux 的 日 志 分 析 工 具有 grep、sed、awk、 
find 等 。 


17.5.4 ”网 络 安全 监测 


网 络 安全 监测 的 目的 是 对 受害 系统 的 网 络 活动 或 内 部 活动 进行 分 析 ， 获取 受害 系统 的 当前 
状态 信息 。 目 前 ， 网 络 安全 监测 的 方法 主要 有 以 下 几 种 。 


1. 网 络 流量 监测 


通过 利用 网 络 监测 工具 ， 获 取 受 害 系统 的 网 络 流量 数据 ， 挖 掘 分 析 受 害 系统 在 网 络 上 的 通 
信人 信息， 以 发 现 受害 系统 的 网 上 异常 行为 ， 特 别 是 一 些 隐 项 的 网 络 攻击 ， 如 远 控 木马 、 窃 密 木 
马 、 网 络 蠕虫 、 勒 索 病毒 等 。 实 际 工 作 中 常用 的 网 络 监测 工具 有 TCPDump、TCPView、Snort、 
WireShark、netstat。 


2. 系统 自身 监测 


系统 自身 监测 的 目的 主要 在 于 掌握 受害 系统 的 当前 活动 状态 ,以 确认 入 侵 者 在 受害 系统 的 
操作 。 系 统 自身 监测 的 方法 包括 如 下 几 个 方面 。 

1) 受害 系统 的 网 络 通信 状态 监测 

用 netstat 命令 、TCPView、HTTPNetworkSniffer 等 显示 当前 受害 机 器 的 网 络 监听 程序 及 网 
络 连 接 。 例 如 ， 使 用 TCPView 查看 系统 网 络 连接 状况 ， 如 图 17-4 所 示 。 
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4 TCPView - Sysinternals: www.sysinternals.com 


RemoleAd State 
LISTENING 
ESTABLISHED 
LISTENING 
LISTENING 


ESTABLISHED 
ESTABLISHED 
ESTABLISHED 
ESTABLISHED 
ESTABLISHED 


wwwprog uni ESTABLISHED 
cf22877wediac unim.. wwwprowy uni,.. ESTABLISHED 
cf22877wediac urim.. wwwprowy uni,.. ESTABLISHED 

uni ESTABLISHED 


图 17-4 使 用 TCPView 检测 系统 网 络 通信 连接 状况 示意 图 


2) 受害 系统 的 操作 系统 进程 活动 状态 监测 

在 Linux/UNIX 系统 中 ， 用 ps 命令 查看 受害 机 器 的 活动 进程 。 在 Windows 系统 中 ， 可 用 
Autoruns、Process Explorer、ListDLLs 等 查看 系统 进程 活动 状况 。 例 如 ， 使 用 Autoruns 可 以 检 
查 Windows 系统 的 自 启动 项 目 ， 如 图 17-5 所 示 。 


可 Autoruns - Sysinternals wwwsysinternalscom 
File Entry Options Help 


回国 的 加 加 Ps 
鄙 LSA Providers 凡 Network Promders 
© Eeyhing Logon 量 Explorer 大 InemetExpbrer 国 ScheduledTasks 。 卉 Sevices 昌 owves 回 cuc 四 BootEecue 四 
Autorun Entry Descripton Pubhisher Imege Peth Timestamp VirusTotal 
HKLMISYSTEMICurrentControlSefiContronSateBoot AtemateShell 2019/3/19 12:53 
国 cndexe Windows 语 信 外 司 乓 厅 Verifed) Microso Windows 。 ciwindowstsyste ，1935/5/14 13:40 
HKLMISOFTWARE\Microso Windows\CurrentVersion\Run 202014/25 14:44 
加 VMware user Process VMware Tools Core Sevice (Verfied) VMware, nc cprogram flesw... 2019/9/1 16:38 
回 贺 VMware VM3DService Process (Verified) VMware Inc. cwindows\syste.,. 201917126 11:44 
HKCUISOFTWARE\Microsom Windows\CurentVersion\Run 202014125 14:34 
oneD've Microson OneDrive (Vorified) Microsoft Corporation c'\sers\26052\a... 1908/5/24 3.47 
太 HKLMISOFTWAREWicrosottActive Setupunstaled Components 2019/6/5 9:23 
ma Microsoft NET E SECURITY REG (Verifed) Microsoh Corporation c-Wwindows\syste... 2019/3/4 20.54 
HKLMISOFTWARE\Wow6432Node\WMicrosoftActive Setup\installed Components 2019/6/5 923 
na Microsoft .NET E SECURITY REG... (Verified) Microsoft Corporation ciwindowstsysw ，2019/35 2-12 


_ Task Scheduler 

| WicrosoftWindowsWpplication Experience\Microsoft Co 。 Microsoft Compatibiity Telemetry (Verified) Microsoft Corporaton cwindows\syste.. 1945/12/2 4.29 
| WicrosortWindowswpplicaton Expenence\ProgramDats.. Microsont Compatibilty Telemetry (Verhed) Microsont Corporaton c\windows\syste... 1945/12/2 4:29 
鞠 WicrosottwindowsWindows DetenderWindows Defende... Microsoft Malware Protection Com.. (Verified) Microso Corporation c\program fles\w... 1955/3/21 20:53 
回 几 WicrosomwindowsWindows Defender\Windows Defende.. Microsoft Malware Protection Com.. (Verified) Microsoft Corporation c:\program flesW.. 1955/3/21 20.53 
二 WicrosoftwindowsWindows DefenderWindows Defende... Microsoft Malware Protection Com... (Verified) Microsoft Corporation c:\program flesiw... 1955/3/21 20.53 
上 WicrosoftWwindowsWindows DefenderWindows Defende... Microsoft Malware Protection Com... (Verified) Microsot Corporation c:\program flesiw... 1955/3/21 20.53 
而 \OneDrive Standalone Update Task-S-1.5-21-673172779-.. Standalone Updater (Verified) Microsoft Corporation cusers\26052\a... 1919/4/8 3.52 


2020/4/25 14:44 
Fontcache3000 Windows Presentation Foundation - Verfied) Microsoft Corporation ciwindowswmico 20191126 12:17 
ListenService ListenService ActivateService Cusers\26052\a . 2019/5/8 9:19 
VGAvthSevice VMware Alias Manager and Tcket (Verified) VMware. Inc cprogram flesw.— 2019/8/31 15:19 
加 wroos VMware Tools: 可 去 等 企 下 机 和 光 (Verified) VMware Ine. aprogram flesy.. 2019/9/1 16:38 
入 Wanissve Windows Defender Antivius Netw... (Verified) Microsoft Corporation c:\program flesiw... 1967/10/29 23:25 
WinDetend Windows Defender Antivinus Servi.. (Verified) Microsoft Corporation c:\program flesiw... 1943/10/30 1245 
2020/4/25 14;44 
iaLPSSLGPIO al 让 让 1O GPIO 十 机 控 册 家.… (Veriied) Intel Corporation - CL ciwindows\syste.. 2015/2/2 17.00 
vm3dmp vm3dmp: VMware SVGA 3D Miniport (Verified) VMware, Inc cwindows\syste.. 2019/7/26 12.10 


17-5 ”使 用 Autoruns 检查 Windows 系统 自 启动 状况 示意 
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3) 受害 系统 的 用 户 活动 状况 监测 
用 who 命令 显示 受害 系统 的 在 线 用 户 信息 。 
4) 受害 系统 的 地 址 解析 状况 监测 

用 am 命令 查看 受害 机 器 的 地 址 解 相 


在 表 ， 如 图 17-6 所 示 。 


C:\Docunents and SettingssfElyinghbird>arp -a 


Interface: 192.168.11.38 -——— @x2 


Internet fddress 
| | 


3 


如 图 17-7 所 示 。 


[TCDTETE5 DEC 
PID TID USER 


root 
root 
root 


在 Windows 系统 下 ， 可 以 使 用 fport 工具 对 相关 


17.5.5 “系统 恢复 


系统 恢复 技术 用 于 将 受害 


损失 。 系 统 恢复 技术 的 方 ; 


Physical flddress 

39-h4-9e-2h-3d-fa 
99-58-56-83-15-eh 
78-e3-h5-f8-19-81 


Type 

LOT 
CUEDLEE 
CELE 


用 armp 命令 显示 物理 地 址 和 了 P 地 址 解析 状况 示意 图 


i 源 使 用 状况 监测 
i UNIX/Linux 系统 中 可 上 


时 lsof 工具 检查 进程 使 用 的 文件 、 tcp/udp 端口 、 用 户 等 相关 信息 ， 


DEVICE SIZE/OFF NODE 


Libcap-ng.so.0.0.0 
libattr.so.1.1.0 
libdl-2.1 
libpcre.so 

Libc-2 
libpthread-2 


进程 和 端口 号 进行 关联 。 


系统 进行 安全 处 理 后 ， 


使 其 重新 下 


量 降低 攻击 造 月 


主要 有 下 面 几 种 。 
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1. 系统 紧急 启动 


当 计算 机 系统 因 口 令 遗 忘 、 系 统 文件 丢失 等 导致 系统 无 法 正常 使 用 的 时 候 ， 利 用 系统 紧急 
启动 盘 可 以 恢复 受 损 的 系统 ， 重 新 获取 受 损 的 系统 访问 权限 。 系 统 紧急 启动 盘 主 要 的 作用 是 实 
现 计算 设备 的 操作 系统 引导 恢复 ， 主 要 类 型 有 光盘 、U 盘 。 系 统 紧急 启动 盘 保存 操作 系统 最 小 
化 启动 相关 文件 ， 能 够 独立 完成 对 相关 设备 的 启动 。 

2. 恶意 代码 清除 


系统 遭受 恶意 代码 攻击 后 无 法 正常 使 用 ， 通 过 使 用 安全 专用 工具 ， 对 受害 系统 的 恶意 代码 
进行 清除 。 

3. 系统 漏洞 修补 

针对 受害 系统 ， 通 过 安全 工具 检查 相应 的 安全 漏洞 ， 然 后 安装 补丁 软件 。 

4. 文件 删除 恢复 


操作 系统 删除 文件 时 ， 只 是 在 该 文件 的 文件 目录 项 上 做 一 个 删除 标记 , 把 FAT 表 中 所 占用 
的 秘 标 记 为 空 徐 ， 而 DATA 区 域 中 的 簇 仍旧 保存 着 原文 件 的 内 容 。 因 此 ， 计 算 机 普通 文件 删除 
只 是 逻辑 做 标记 ， 而 不 是 物理 上 清除 ， 此 时 通过 安全 恢复 工具 ， 可 以 把 已 删除 的 文件 找 回来 。 


5. 系统 备份 容 灾 


常见 的 备份 容 灾 技 术 主要 有 磁盘 阵列 、 双 机 热 备 系统 、 容 灾 中 心 等 。 当 运行 系统 受到 攻击 
瘫痪 后 ， 启 用 备份 容 灾 系 统 ， 以 保持 业务 连续 运行 和 数据 安全 。 例 如 ， 用 Ghost 软件 备份 计算 
机 操作 系统 环境 ， 一 旦 系统 受到 破坏 ， 就 用 备份 系统 重新 恢复 。 
针对 网 络 信息 系统 的 容 灾 恢复 问题 ， 国 家 制定 和 颁布 了 《信息 安全 技术 ”信息 系统 灾难 恢 
复 规范 (GB/T 20988 一 2007) 》， 该 规范 定义 了 六 个 灾难 恢复 等 级 和 技术 要 求 ， 各 级 规范 要 求 
如 下 : 
。 第 1 级 -基本 支持 。 本 级 要 求 至 少 每 周 做 一 次 完全 数据 备份 ， 并 且 备 份 介 质 场 外 存放 ; 
同时 还 需要 有 符合 介质 存放 的 场地 ; 企业 要 制定 介质 存 取 、 验 证 和 转 储 的 管理 制度 ， 
并 按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 ， 企 业 需 要 制订 经 过 完整 测试 和 演练 
的 灾难 恢复 预案 。 
。 第 2 级 -备用 场地 支持 。 第 2 级 在 第 1 级 的 基础 上 , 还 要 求 配备 灾难 发 生 后 能 在 预定 时 
间 内 调配 使 用 的 数据 处 理 设备 和 通信 线路 以 及 相应 的 网 络 设备 ， 并且 对 于 第 1 级 中 存 
放 介质 的 场地 ， 需 要 其 能 满足 信息 系统 和 关键 业务 功能 恢复 运作 的 要 求 ， 对 于 企业 的 
运 维 能 力 ， 也 增加 了 相应 的 要 求 ， 即 要 制定 备用 场地 管理 制度 ， 同 时 要 与 相关 厂商 、 
运营 商 有 符合 灾难 恢复 时 间 要 求 的 紧急 供 货 协议 、 备 用 通信 线路 协议 。 
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。 第 3 级 -电子 传输 和 部 分 设备 支持 。 第 3 级 不 同 于 第 2 级 的 调配 数据 处 理 设备 和 具备 网 
络 系统 紧急 供 货 协议 ， 其 要 求 配置 部 分 数据 处 理 设备 和 部 分 通信 线路 及 相应 的 网 络 设 
备 ; 同时 要 求 每 天 多 次 利用 通信 网 络 将 关键 数据 定时 批量 传送 至 备用 场地 ， 并 在 灾难 
备份 中 心 配置 专职 的 运行 管理 人 员 ; 对 于 运行 维护 来 说 ， 要 求 制定 电子 传输 数据 备份 
系统 运行 管理 制度 。 

。 第 4 级 -电子 传输 及 完整 设备 支持 。 第 4 级 相对 于 第 3 级 中 的 配备 部 分 数据 处 理 设备 和 
网 络 设备 而 言 ， 须 配置 灾难 恢复 所 需 的 全 部 数据 处 理 设备 和 通信 线路 及 网 络 设备 ， 并 
处 于 就 绪 状 态 ， 备 用 场地 也 提出 了 支持 7X24 小 时 运作 的 更 高 的 要 求 ， 同 时 对 技术 支 
持 和 运 维 管理 的 要 求 也 有 相应 的 提高 。 

。 第 5 级 -实时 数据 传输 及 完整 设备 支持 。 第 5 级 相对 于 第 4 级 的 数据 电子 传输 而 言 , 要 
求实 现 远 程 数 据 复制 技术 ， 并 利用 通信 网 络 将 关键 数据 实时 复制 到 备用 场地 ;同时 要 
求 备用 网 络 具备 自动 或 集中 切换 能 力 。 

。 第 6 级 -数据 零 丢 失 和 远程 集群 支持 。 第 6 级 相对 于 第 5 级 的 实时 数据 复制 而 言 ,要求 
数据 远程 实时 备份 ， 实 现 数 据 零 丢 失 ， 同 时 要 求 应 用 软件 是 集群 的 ， 可 以 实现 实时 无 
颖 切换 ， 并 具备 远程 集群 系统 的 实时 监控 和 自动 切换 能 力 ， 对 于 备用 网 络 的 要 求 也 有 
所 加 强 ， 要 求 用 户 可 通过 网 络 同时 接 入 主 、 备 中 心 。 


17.5.6 ”入 侵 取 证 


入 侵 取证 是 指 通过 特定 的 软件 和 工具 ， 从 计算 机 及 网 络 系统 中 提取 攻击 证 据 。 依 据 证 据 信 
息 变 化 的 特点 ， 可 以 将 证 据 信息 分 成 两 大 类 : 第 一 类 是 实时 信息 或 易 失信 息 ， 例 如 内 存 和 网 络 
连接 ; 第 二 类 是 非 易 失信 息 ， 不 会 随 设备 断 电 而 丢失 。 通 常 ， 可 以 作为 证 据 或 证 据 关联 的 信息 
有 以 下 几 种 : 

。 日志， 如 操作 系统 日 志 、 网 络 访问 日 志 等 ; 

。 ”文件 ， 如 操作 系统 文件 大 小 、 文 件 内 容 、 文 件 创建 日 期 、 交 换文 件 等 ; 

。 ”系统 进程 ， 如 进程 名 、 进 程 访问 文件 等 ; 

。 ”用 户 ， 特 别 是 在 线 用 户 的 服务 时 间 、 使 用 方式 等 ; 

。 ”系统 状态 ， 如 系统 开放 的 服务 及 网 络 运行 的 模式 等 ; 

。 ”网 络 通信 连接 记录 ， 如 网 络 路 由 器 的 运行 日 志 等 ; 

。 ”人 磁盘 介质 ， 包 括 硬盘 、 光 盘 、USB 等 ， 特 别 是 磁盘 隐藏 空间 。 

网 络 安全 取证 一 般 包含 如 下 6 个 步 又; 

第 一 步 ， 取 证 现场 保护 。 保 护 受 害 系 统 或 设备 的 完整 性 ， 防 止 证 据 信息 丢失 。 

第 三 步 ， 识 别 证 据 。 识 别 可 获取 的 证 据 信 息 类 型 ， 应 用 适当 的 获取 技术 与 工具 。 

第 三 步 ， 传 输 证 据 。 将 获取 的 信息 安全 地 传送 到 取证 设备 。 

第 四 步 ， 保 存 证 据 。 存 储 证 据 ， 并 确保 存储 的 数据 与 原始 数据 一 致 

第 五 步 ， 分 析 证 据 。 将 有 关 证 据 进行 关联 分 析 ， 构 造 证 据 链 ， 重 现 攻击 过 程 。 
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第 六 步 ， 提 交 证 据 。 向 管理 者 、 律 师 或 者 法 院 提交 证 据 。 
在 取证 过 程 中 ， 每 一 步 的 执行 都 涉及 相关 的 技术 与 工具 。 
1. 证 据 获取 
此 类 技术 用 于 从 受害 系统 获取 原始 证 据 数据 ， 常 见证 据 有 系统 时 间 、 系 统 配 置信 息 、 关 键 


系统 文件 、 系 统 用 户 信息 、 系 统 日 志 、 垃 圾 箱 文件 、 网 络 访问 记录 、 恢 复 已 删除 的 文件 、 防 火 
墙 日 志 、IDS 日 志 等 。 典 型 工具 有 ipconfig、ifconfig、netstat、fport、lsof、date、time、who、 


ps、TCPDump 等 。 

2. 证 据 安全 保护 

此 类 技术 用 于 保护 受害 系统 的 证 据 的 完整 性 及 保密 性 ， 防 止 证 据 受 到 破坏 或 非法 访问 ， 如 
用 md5sum、Tripwire 保护 相关 证 据 数据 的 完整 性 ， 使 用 PGP 加 密 电 子 邮 件 。 

3. 证 据 分 析 

此 类 技术 用 于 分 析 受 害 系统 的 证 据 数据 ， 常 见 的 技术 方法 有 关键 词 搜索 、 可 疑 文件 分 
析 、 数 据 挖掘 等 。 利 用 grep、find 可 搜索 日 志文 件 中 与 攻击 相关 的 信息 ; 使 用 OllyDbg、GDB、 


strings 分 析 可 疑 文件 ， 对 tracert、IDS 报警 数据 和 IP 地 址 地 理 数据 进行 关联 分 析 ， 可 以 定 
位 攻击 源 。 


17.6 网络 安 全 应 急 响 应 参考 案例 


本 节 给 出 了 公共 互联 网 网 络 安全 突 发 事件 应 急 预 案 、 商 业 网 络 安全 应 急 响应 服务 、IBM 产 
品 安全 漏洞 应 急 响 应 、 恶 意 代 码 攻击 应 急 处 置 等 参考 案例 。 


17.6.1 公共 互联 网 网 络 安全 突 发 事件 应 急 预 案 


工业 和 信息 化 部 为 进一步 健全 公共 互联 网 网 络 安全 突 发 事件 应 急 机 制 ， 提 升 应 对 能 力 ， 根 
据 《 中 华人 民 共和 国 网 络 安全 法 》《 国 家 网 络 安全 事件 应 急 预案 》 等 ， 制 定 了 《公共 互联 网 网 
络 安全 突 发 事件 应 急 预 案 》 (参见 附录 B) 。 


17.6.2 ”阿里 云 安全 应 急 响 应 服务 


阿里 云 安全 应 急 响 应 服务 参照 国家 信息 安全 事件 响应 处 理 相关 标准 ， 帮 助 云 上 用 户 业务 在 
发 生 安 全 事件 后 ， 按 照 预 防 、 情 报信 息 收集 、 过 制 、 根 除 、 恢 复 流程 ， 提 供 专业 的 7X24 小 时 
远程 紧急 响应 处 理 服务 ， 使 云 上 用 户 能 够 快速 响应 和 处 理 信息 安全 事件 ， 保 障 业务 安全 运营 。 
阿里 云 安全 应 急 响应 服务 的 主要 场景 如 表 17-5 所 示 。 


服务 应 用 场景 


网 络 攻击 事件 


恶意 程序 事件 


Web 恶意 代码 


信息 破坏 事件 


其 他 安全 事件 
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表 17-5 阿里 云 安全 应 急 响应 服务 的 场景 
详细 描 述 

安全 扫描 攻击 : 黑客 利用 扫描 器 对 目标 进行 漏洞 探测 ， 并 在 发 现 漏洞 后 
进一步 利用 漏洞 进行 攻击 
暴力 破解 攻击 : 对 目标 系统 账号 密码 进行 暴力 破解 ， 获 取 后 台 管 理 员 权限 
系统 漏洞 攻击 : 利用 操作 系统 、 应 用 系统 中 存在 的 漏洞 进行 攻击 
Web 漏洞 攻击 : 通过 SQL 注入 漏洞 、 上 传 漏洞 、XSS 漏洞 、 授 权 绕 过 
等 各 种 Web 漏洞 进行 攻击 
拒绝 服务 攻击 : 通过 大 流量 DDoS 或 者 CC 攻击 目标 ， 使 目标 服务 器 无 
法 提供 正常 服务 
其 他 网 络 攻击 行为 
病毒 、 蠕 虫 : 造成 系统 缓慢 ， 数 据 损坏 、 运 行 异常 
远 控 木马 : 主机 被 黑客 远程 控制 
僵尸 网 络 程序 〈 肉 鸡 行为 ) : 主机 对 外 发 动 DDoS 攻击 、 对 外 发 起 扫描 
攻击 行为 
挖 矿 程序 : 造成 系统 资源 大 量 消耗 
Webshell 后 门 : 黑客 通过 Webshell 控制 主机 
网 页 挂 马 ， 页 面 被 植 入 病毒 内 容 ， 影 响 访问 者 安全 
网 页 暗 链 : 网 站 被 植 入 博彩 、 色 情 、 游 戏 等 广告 内 容 
系统 配置 遭 自 改 : 系统 中 出 现 异常 的 服务 、 进 程 、 启 动 项 、 账 号 等 
数据 库 内 容 算 改 : 业务 数据 遭 到 恶意 算 改 ， 引 起 业务 异常 和 损失 
网 站 内 容 算 改 事件 ， 网 站 页 面 内 容 被 黑客 恶意 算 改 
信息 数据 泄露 事件 ， 服务器 数据 、 会 员 账号 遭 到 窃取 并 泄露 
账号 被 异常 登录 : 系统 账号 在 异地 登录 ， 可 能 出 现 账号 密码 泄露 
异常 网 络 连接 : 服务 器 发 起 对 外 的 异常 访问 ， 连 接 到 木马 主 控 端 、 矿 池 、 
病毒 服务 器 等 行为 


阿里 云 安 全 应 急 响 应 服务 的 流程 如 图 17-8 所 示 。 


备注 


购买 
服务 


小 配 E 
服务 商 审计 


图 17-8 阿里 云 安全 应 急 响应 服务 流程 示意 图 
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阿里 云 安全 应 急 响 应 服务 的 流程 具体 如 下 。 


1 


2 


. 购买 服务 


当 客 户 系统 发 生 安全 突 发 事件 后 ， 需 要 SOS 服务 时 ， 需 要 先 购买 安全 事件 应 急 响 
应 服务 。 

购买 服务 后 需要 在 5 个 自然 日 内 在 页 面 上 提交 需要 应 急 响 应 的 资产 清单 或 者 在 安全 公 
司 与 客户 取得 联系 后 ， 通 过 其 他 方式 提交 需要 处 理 的 资产 清单 。 

为 避免 进一步 的 损失 ， 建 议 客户 自行 对 被 攻击 的 资产 进行 数据 备份 工作 。 


. 分 配合 作 伙 伴 


当 客户 购买 服务 后 ， 阿 里 云 后 台 管理 系统 会 根据 客户 发 生 的 安全 事件 的 情况 ， 为 客户 分 配 
合适 的 安全 公司 。 


3 


4 


. 事件 确认 


安全 公司 的 安全 工程 师 与 客户 直接 联系 对 接 ， 通 过 与 客户 交流 了 解 事件 的 具体 详情 ， 
并 记录 问题 情况 。 

登录 被 入 侵 系统 查看 实际 系统 状态 。 

根据 客户 描述 现象 与 系统 实际 现象 ， 对 事件 进行 确认 ， 定 性 。 


. 事件 抑制 


如 果 在 响应 过 程 中 ， 发 现 黑客 正在 进行 攻击 ， 或 者 有 其 他 可 能 会 进一步 破坏 系统 的 行为 ， 
安全 工程 师 将 采取 抑制 手段 。 抑 制 事态 发 展 是 为 了 将 事故 的 损害 降低 到 最 小 化 。 在 抑制 环节 ， 
常见 的 手段 如 下 : 


断 开 网 络 连接 ; 
关闭 特定 的 业务 服务 ; 
关闭 操作 系统 。 


S. 事件 处 理 
在 对 安全 事件 进行 原因 分 析 之 后 ， 安 全 工程 师 将 进一步 对 安全 事件 进行 处 理 ， 具 体 工作 如 下 


清理 系统 中 存在 的 木马 、 病 毒 、 恶 意 代码 程序 ; 

清理 Web 站 点 中 存在 的 木马 、 暗 链 、 挂 马 页 面 ; 
恢复 被 黑客 自 改 的 系统 配置 ， 删 除 黑客 创建 的 后 门 账号 
删除 异常 系统 服务 、 清 理 异常 进程 ; 

在 排查 问题 后 ， 协 助 恢复 用 户 的 正常 业务 服务 。 
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6. 入 侵 原因 分 析 《〈 仅 事件 分 析 版 提供 ) 


根据 网 络 流量 、 系 统 日 志 、Web 日 志 记录 、 应 用 日 志 、 数 据 库 日 志 ， 结 合 安全 产品 数据 ， 
分 析 黑 客 入 侵 手 法 ， 调 查 造成 安全 事件 的 原因 ， 确 定安 全 事件 的 威胁 和 破坏 的 严重 程度 。 

部 分 安全 事件 会 因为 黑客 清理 了 日 志 或 者 系统 未 保留 相关 日 志 从 而 导致 无 法 定位 入 侵 原 
因 ， 因 此 应 急 响应 服务 将 尽 可 能 地 分 析 原 因 ， 但 不 承诺 一 定 能 分 析出 入 侵 原 因 。 


7. 提交 报告 
事件 处 理 完 后 ， 根 据 整 个 事件 情况 撰写 《阿里 云 安全 事件 应 急 响应 报告 》， 文 档 中 冰 述 整 
个 安全 突 发 事件 的 现象 、 处 理 过 程 、 处 理 结果 、 事 件 原因 分 析 〈 针 对 事件 分 析 版 ) ， 并 给 出 相 


应 的 安全 建议 ， 客 户 在 获取 报告 后 可 以 再 对 报告 内 容 进 行 确认 ， 也 可 以 对 服务 过 程 向 阿里 云 提 
出 反馈 或 投诉 。 


8. 结束 阶段 


在 安全 事件 处 理 结束 后 ， 阿 里 云 将 继续 跟踪 事件 处 理 结果 ， 对 服务 提供 商 的 服务 过 程 和 服 
务 质量 进行 审查 。 阿 里 云 安全 应 急 响应 服务 的 SLA 说 明 如 表 17-6 所 示 。 


表 17-6 阿里 云 安全 应 急 响应 服务 SLA 说 明 
服务 条 款 赔 偿 条 款 
事件 响应 时 间 “| 20 分 钟 内 响应 (5X8) 未 按时 响应 则 退还 订单 金额 的 50% 


5 台 ECS 处 理 3 个 自然 日 内 完成 超出 5 台 ， 每 | 如 未 按时 处 理 完成 则 退还 订单 金玉 
事件 处 理 时 间 | s 台 增 加 1 个 自然 日 ， 以 提交 报告 时 间 为 准 。 “| 的 50% 


服务 效果 清理 完 黑客 植 入 的 木马 、 病 毒 eat 


17.6.3 1BM 产品 安全 漏洞 应 急 响 应 


IBM 产品 安全 应 急 响 应 组 (简称 BM PSIRT) 是 全 球 性 组 织 ， 负 责 接收 、 调 查 、 内 部 协调 
IBM 产品 的 安全 漏洞 信息 。IBM PSIRT 集中 关注 安全 研究 人 员 、 工 业 组 织 、 政 府 机 构 、 厂 商 等 
所 报告 的 IBM 产品 安全 漏洞 。 该 小 组 协调 IBM 产品 和 方案 组 调查 确认 相关 安全 漏洞 ， 并 给 出 
合适 的 响应 计划 。 

IBM 产品 安全 应 急 响应 流程 如 图 17-9 所 示 ， 主 要 流程 步骤 分 析 如 下 : 

第 一 步 , 漏洞 信息 报告 接收 及 登记 。 当 IBM PSIRT 收 到 第 三 方 机 构 提供 的 潜在 漏洞 报告 时 ， 
IBM PSIRT 详细 记录 漏洞 相关 信息 和 问题 ， 并 提供 跟踪 编号 给 漏洞 报告 者 。 

第 二 步 , 漏洞 分 析 。IBM PSIRT 把 潜在 的 安全 漏洞 告知 相应 的 IBM 产品 组 进行 分 析 。IBM 
产品 组 证 实 报告 者 相关 信息 及 问题 ， 确 认 漏 洞 的 真实 性 。 
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第 三 步 ， 漏 洞 确认 和 判定 。 经 过 初步 分 析 后 ， 产 品 组 判定 漏洞 利用 方法 及 引发 的 后 果 ， 给 
出 一 个 修补 计划 及 受 影响 的 产品 版 本 。 

第 四 步 ， 漏 洞 补丁 开发 及 安全 防护 措施 研究 。 相 关 产 品 部 门 开 发 漏洞 补丁 及 安全 保护 
措施 。 

第 五 步 ， 发 布 漏洞 修补 措施 。 一 旦 漏洞 修补 可 用 ,IBM 发 布 公共 安全 公告 通知 受 影响 的 客 
户 有 关 此 漏洞 的 信息 。IBM 披露 的 漏洞 详细 信息 包含 漏洞 CVSS 评分 、 漏 洞 CVE 编号 、 受 影 
响 产品 以 及 相关 链接 。 

第 六 步 ， 避 免 出 现 类 似 漏洞 。IBM PSIRT 漏洞 处 置 的 最 后 工作 是 ， 与 其 他 工程 团队 共享 漏 
洞 发 现 信息 ， 尽 可 能 避免 BM 产品 中 出 现 类 似 漏 洞 。 


开始 
JP 


接收 日 志 
和 报告 
分 析 

J 
调查 和 
决定 迁移 
机 
决定 通信 ] 人、 
集成 和 保护 


发 布 公告 和 

分 发 补丁 

4 
发 布 后 处 理 


结束 
图 17-9 IBM 产品 安全 应 急 响应 流程 示意 图 


17.6.4 “永恒 之 乾 " 攻 击 的 紧急 处 置 


“永恒 之 蓝 ” 网 络 蠕虫 利用 Windows 系统 的 SMB 漏洞 可 以 获取 系统 最 高 权限 ， 进 而 制作 
Wannacry 勒索 程序 。 被 感染 的 机 器 屏幕 会 显示 如 图 17-10 所 示 的 告知 付 赎金 的 界面 。 


我 的 电脑 出 了 什么 问题 ? 
的 一 些 重要 文 之 保 闻 了 
图 
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件 被 我 加 至 保 公 了 


推 巡 。 
/ 竟 费 侨 复 一 些 文档 * 请 各 融 ( 作 我 是 从 不 会 


和 档 ， 需要 付款 点 更 用 * 
款 做 复 的 吗 ， 当然 不 是 ， 推 壕 付款 时 间 越 长 


图 17-10 “永恒 之 蓝 ” 网 络 蠕虫 付 赎金 的 界面 示意 图 


本 案例 参考 360 发 布 的 《针对 “永恒 之 蓝 ” 攻 击 紧急 处 置 手册 》 及 应 急 相 关机 构 提供 的 资 
料 ， 给 出 “永恒 之 蓝 ” 网 络 蠕虫 的 紧急 处 理 方式 ， 具 体 如 下 : 
(1) 如 果 主 机 已 被 感染 ， 则 将 主机 隔离 或 断 网 〈 拔 网 线 ) 。 若 有 该 主机 备份 ， 则 启动 备份 


恢复 程序 。 


(2) 如 果 主 机 未 被 感 当 ， 采 取 以 下 合适 的 方式 进行 防护 ， 避 免 主 机 被 感染 。 
。 ”安装 免疫 工具 。 如 安装 和 使 用 360 提供 的 免疫 工具 OnionWormImmune.exe。 
。 ”漏洞 修补 。 针 对 恶意 程序 利用 的 漏洞 ， 安 装 MS17-010 补丁 。 


。 ”系统 安全 加 固 。 手 了 


[关闭 445 端口 相关 服务 或 启动 主机 防火 墙 ， 封 堵 445 端口 。 


。 阻 断 445 端口 网 络 通信 。 配 置 网 络 设备 或 安全 设备 的 访问 控制 策略 (ACL), 封 堵 445 
端口 通信 ， 示 例如 表 17-7 所 示 。 
表 17-7 网 络 设备 访问 控制 示例 


设备 类 型 


华为 


acl Dumber 
mle deny tcp 
mle permit 

traffic classifier 
if-match acl 
traffic behavior 
traffic policy 


建议 配置 (示例 ) 


3050 

destination-port eq 445 
ip 

deny-wannacry type and 
3050 


deny-wannacry 
deny-wannacry 


classifier deny-wannacry behavior deny-wannacry precedence5 
interface [需要 挂 载 的 三 层 端口 名 称 ] 

traffic-policy deny-wannacry inbound 

traffic-policy deny-wannacry outbound 


国 376 荐 。 信息 安全 工程 师 教 程 第 2 版 ) 


设备 类 型 


续 表 


建议 配置 (示例 ) 


Cisco 


新 版 本 : 


ipaccess-list 


deny tcp 
permit 让 


any any 


deny-wannacry 
eq 445 


any any 


锐 捷 


17.6.5 页 面 纂 改 事件 处 置 规程 


ipaccess-list 


deny tcp 
permit 让 
interface 


any any 


extended 


any any 


[需要 挂 载 的 三 层 端口 名 称 ] 


ipaccess-group 


ip access-group 


deny-wannacry 
eq 445 


deny-wannacry in 
deny-wannacry out 


本 案例 来 自 某 公司 提供 的 网 络 安全 应 急 预 案 。 本 案例 中 页 面 算 改 事件 属于 I 级 事故 或 安 
全 事件 。 当 该 事件 触发 后 ， 要 求 应 用 系统 运 维 人 员 检 查 确认 后 立即 断 开 该 网 站 的 网 络 连 接 ， 
同时 立即 通知 部 门 负责 人 ， 部 门 负责 人 上 报应 急 领导 小 组 组 长 ， 由 应 急 领 导 小 组 组 长 决定 是 
和 否 进 行 现场 组 织 协调 处 理 以 及 上 报信 息 化 主管 部 门 。 同 时 由 应 用 系统 运 维 人 员 和 安全 工程 师 
恢复 被 算 改 的 页 面 , 并 在 恢复 完成 后 进行 详细 的 安全 检查 .页面 自 改 事件 的 处 置 规程 如 表 17-8 


所 示 。 


表 17-8 ”页面 篡改 事件 处 置 规程 示例 表 


执行 内 容 

根据 专项 预案 流程 ， 判 断 该 事件 类 型 为 拒绝 服 
务 类 攻击 ， 确 认 人 员 到 位 之 后 ， 启 动 对 应 的 处 
置 规程 

记录 攻击 类 型 和 特征 ， 判 断 是 流量 型 攻击 还 是 
CC 攻击 。 如 无 法 判断 类 型 ， 应 立即 与 安全 服务 
商 、 运 营 商 联系 。 等 待 XXX 反馈 后 将 情况 报告 
部 门 负责 人 


查看 服务 器 应 用 、 数 据 库 的 连接 数 、 日 志 及 进程 


3 | 长 机 确认 | Xxx | XXX | 10 分 钟 | 状态 ， 确 认 是 否 存在 攻击 。 确 认 后 反馈 给 YYY 
i 将 初步 检查 情况 通知 相关 部 门 负责 人 ， 要 求 派 
4 | 上报 部 门 负 | xxx | xxx | s 分 钟 | 人 协调 处 理 ， 并 同时 将 情况 上 报 分 管 领导 和 总 
责 人 区 
了 上 骤 应 外 所 将 初步 检查 情况 通知 技术 部 负责 信 ， 要 求 派 太 协 
5 | 导 小 组 组 长 | XXX | XXX | 5 分 钟 | 调处 理 。 同 时 将 情况 上 报应 急 领 导 小 组 组 长 
6 | 确认 进行 应 | xxx | xxx | 5 分 钟 | 确认 现场 组 织 协调 处 理 以 及 上 报信 息 化 主管 部 站 


急 响应 
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续 表 
执行 内 容 

通过 分 析 当前 的 服务 状况 及 攻击 的 特征 ， 结 合 其 

他 安全 记录 ， 识 别 攻击 类 型 、 范 围 、 受 影响 程度 、 

来 源 、 和 强度 。 具 体 方式 为 : 

(1) 通过 IP 判断 攻击 事件 是 来 源 于 内 部 网 络 还 
是 外 部 网 络 

(2) 查看 服务 器 负载 情况 和 网 络 负载 情况 

(3) 查看 服务 器 应 用 、 数 据 库 的 连接 数 、 日 志 及 
进程 状态 ， 分 析 攻击 类 型 和 特征 

(4) 问题 涉及 的 设备 数量 

(5) 进行 相关 信息 的 收集 ， 主 要 有 : 攻击 源 地 
址 、 流 量 类 型 、 请 求 页 面 、 协 议 等 ， 信 息 的 
主要 来 源 有 : 服务 器 查询 、 抓 包 、 查 阅 安全 
知识 库 〈 国 家 应 急 响应 中 心 、 内 部 的 安全 知 
识 库 、 专 业 的 安全 网 站 等 ) 、 咨 询 专业 的 安 
全 顾问 等 

通过 主机 、 网 络 /安全 设备 调整 策略 控制 并 阻 断 攻 

击 行为 。 通 过 日 志 审计 、IDS 及 流量 分 析 工 具 追 

踪 攻 击 。 具 体 方式 为 : 

(1) 通过 收集 的 信息 定位 IP， 利 用 安全 设备 进行 


| 于 


控制 与 追踪 30 分 钟 初步 的 网 络 层 封 堵 

(2) 通过 调整 TCP 连接 数 限制 ， 超 时 时 间 等 组 
解 攻击 现状 

(3) 对 于 流量 型 攻击 ， 联 系 运营 商 协助 进行 流量 
清洗 


oy 备份 
20 


tte 

通过 网 络 设备 、 安 全 设备 和 其 他 监控 手段 ， 观 察 
分 钟 | 网 络 状态 及 系统 运行 状态 。 根 据 实际 情况 适当 调 
整 防御 策略 

故障 已 经 处 理 完毕 ， 将 情况 报告 部 门 负 责 人 


5 分 钟 | 将 情况 上 报 分 管 领导 、 总 工 办 


ae 5 分 钟 | 将 情况 上 报应 急 领导 小 组 组 长 


攻击 分 析 和 (1) 分 析 黑 客 攻击 路 径 、 影 响 范围 及 程度 
风险 检测 (2) 分 析 事 件 原因 


人 30 分 钟 | 编写 事件 报告 
王 
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17.7 ”本章 小 结 


应 急 响应 是 网 络 安全 防御 的 一 个 环节 ， 本 章 介绍 了 应 急 响 应 的 概念 ， 围 绕 应 急 响应 组 织 的 
工作 机 制 和 类 型 进行 了 讨论 ， 并 详细 叙述 了 应 急 响 应 预案 的 内 容 和 类 型 及 处 理 流程 。 此 外 ， 本 
章 还 系统 地 总 结 了 常见 的 应 急 响 应 技术 及 工具 ， 并 给 出 网 络 安全 应 急 响应 参考 案例 。 
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18.1 网 络 安全 测评 概况 


网 络 安全 测评 是 网 络 信息 系统 和 IT 技术 产品 的 安全 质量 保障 。 本 节 主 要 阐述 网 络 安全 测 
评 的 概念 ， 给 出 网 络 安全 测评 的 发 展 状况 。 


18.1.1 网 络 安全 测评 概念 


网 络 安全 测评 是 指 参照 一 定 的 标准 规范 要 求 ， 通 过 一 系列 的 技术 和 管理 方法 ， 获 取 评估 对 
象 的 网 络 安全 状况 信息 ， 对 其 给 出 相应 的 网 络 安全 情况 综合 判定 。 网 络 安全 测评 对 象 通常 包括 
信息 系统 的 组 成 要 素 或 信息 系统 自身 ， 如 表 18-1 所 示 。 


表 18-1 网 络 安全 测评 对 象 及 测评 内 容 


测评 对 象 测评 内 容 概况 

对 信息 技术 相关 产品 (包括 信息 安全 产品 ) 的 安全 性 进行 测试 和 评估 ， 相 关 产 品 
主要 有 操作 系统 、 数 据 库 、 交 换 机 、 路 由 器 、 应 用 软件 等 。 信 息 安全 产品 主要 有 
信息 技术 产品 防火 墙 、 入 侵 检测 、 安 全 审计 、VPN、 网 络 隔离 、 安 全 操作 系统 、 安 全 数据 库 系 
安全 测评 统 、 安 全 路 由 器 、UTM 等 。 按 照 测评 依据 和 测评 内 容 ， 测 评 常见 类 型 包括 信息 
安全 产品 分 级 评估 、 信 息 安 全 产品 认定 测评 、 信 息 技术 产品 自主 原创 测评 、 源 代 
码 安全 风险 评估 、 选 型 测试 、 定 制 测试 

对 信息 系统 的 安全 性 进行 测试 、 评 估 、 认 定 。 按 照 测评 依据 和 测评 内 容 ， 主 要 包 
信息 系统 安全 测评 | 括 信息 系统 安全 风险 评估 、 信 息 系统 安全 等 级 保护 测评 、 信 息 系统 安全 验收 测评 、 
信息 系统 安全 渗透 测试 、 信 息 系统 安全 保障 能 力 评估 等 


18.1.2 ”网 络 安全 测评 发 展 


网 络 安全 测评 是 信息 技术 产品 安全 质量 、 信 息 系 统 安全 运行 的 重要 保障 措施 。 网 络 信息 技 
术 发 达 的 国家 都 重视 网 络 安全 测评 基础 工作 的 开展 。 美 国 是 国际 上 对 网 络 信息 安全 测评 研究 及 
工作 开展 的 先行 国家 ， 美 国 国防 部 早 在 1983 年 就 颁布 了 《可 信 计 算 机 系统 评估 准则 》“【〔 简 称 
TCSEC，1985 年 再 版 ) 。1991 年 ， 欧 洲 发 布 了 《信息 技术 安全 评估 准则 》 【简称 ITSEC) 。 
1993 年 ， 加 拿 大 发 布 了 《加 拿 大 可 信 计 算 机 产品 评估 准则 》 简称 CTCPEC) 。1993 年 ， 美 
国 发 布 了 《信息 技术 安全 评估 联邦 准则 》 简称 FC) 。1996 年 ， 六 国 七 方 (英国 、 加 拿 大 、 
法 国 、 德 国 、 荷 兰 、 美 国 国家 安全 局 和 美国 技术 标准 研究 所 ) 提出 《信息 技术 安全 评价 通用 准 
则 》 (The Common Criteria for Information Technology Security Evaluation，CC 1.0 版 ) ; 1998 
年 ， 六 国 七 方 发 布 CC 2.0 版 。1999 年 ，ISO 接受 CC 作为 国际 标准 ISO/IEC 15408 标准 ， 并 正 
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式 颁 布 发 行 。CC 标准 提出 了 “保护 轮廓 ”概念 ， 将 评估 过 程 分 为 “功能 ”和 “保证 ”两 部 分 ， 
是 目前 最 全 面 的 信息 技术 安全 评估 标准 。 

与 此 同时 ， 网 络 信息 安全 管理 国际 标准 化 也 在 进一步 推进 。1995 年 ， 英国 制定 了 《信息 安 
全 管理 要 求 》， 后 续 演变 成 为 国际 信息 安全 管理 标准 ISO/TEC 27001， 是 国际 上 具有 代表 性 的 
信息 安全 管理 体系 标准 ， 标 准 涉 及 的 安全 管理 控制 项 目 主要 包括 安全 策略 、 安 全 组 织 、 资 产 分 
类 与 控制 、 人 员 安 全 、 物 理 与 环境 安全 、 通 信和 与 运作 、 访 问 控制 、 系 统 开发 与 维护 、 事 故 管理 、 
业务 持续 运行 、 符 合 性 。 
内 网 络 信息 安全 测评 标准 工作 也 开始 跟 进 。1999 年 ,我 国 发 布 了 《计算 机 信息 系统 安全 
保护 等 级 划分 准则 》 (GB 17859 一 1999) 。GB 17859 一 1999 从 自主 访问 控制 、 强 制 访问 控制 、 
身份 鉴别 、 数 据 完整 性 、 客 体重 用 、 审 计 、 标 记 、 隐 蔽 通道 分 析 、 可 信 路 径 和 可 信 恢 复 等 方面 
将 计算 机 信息 系统 安全 保护 能 力 划分 为 5 个 等 级 : 第 一 级 是 用 户 自主 保护 级 ; 第 二 级 是 系统 审计 
保护 级 ; 第 三 级 是 安全 标记 保护 级 ; 第 四 级 是 结构 化 保护 级 ; 第 五 级 是 访问 验证 保护 级 。 计 算 机 
信息 系统 安全 保护 能 力 随 着 安全 保护 等 级 增 大 而 逐渐 增强 ， 其 中 第 五 级 是 最 高 安全 等 级 。2001 
年 ， 参 考 国际 通用 准则 CC 和 国际 标准 ISO/IEC 15408， 我 国 发 布 了 《信息 技术 安全 技术 信息 
技术 安全 性 评估 准则 》 (GB/T 18336 一 2001) 。GB/T 18336 一 2001 共 分 为 三 部 分 : 《第 1 部 分 : 
简介 和 一 般 模型 》《 第 2 部 分 : 安全 功能 要 求 》《 第 3 部 分 : 安全 保证 要 求 》。2008 年 ， 综 合 
国外 信息 安全 测评 标准 ， 我 国 建立 了 自 成 体系 的 信息 系统 安全 等 级 保护 标准 ， 如 《信息 安全 技 
术 网 络 安全 等 级 保护 定 级 指南 》《 信 息 安全 技术 信息 系统 通用 安全 技术 要 求 》《 信 息 安全 技 
术 信息 系统 安全 等 级 保护 基本 要 求 》。 国 家 网 络 安全 职能 部 门 相继 颁发 了 信息 安全 管理 办 法 
和 标准 规范 ， 如 《信息 安全 等 级 保护 管理 办 法 》 公 通 字 (2007) 43 号 ) 、《 工 业 控制 系统 信 
息 安全 防护 能 力 评估 工作 管理 办 法 》 【工信部 信 软 (2017) 188 号 ) 、《 电 子 认证 服务 密码 管 
理 办 法 》 (国家 密码 管理 局 公告 第 17 号 ) 、《 计 算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 
证 管理 办 法 》 (公安 部 令 第 32 号 ) 。 国 家 设立 了 中 国信 息 安全 测评 中 心 、 国 家 密码 管理 局 商 
用 密码 检测 中 心 、 国 家 保密 科技 测评 中 心 、 公 安 部 信息 安全 等 级 保护 评估 中 心 。 


18.2 网络 安全 测评 类 型 


本 节 主要 阐述 网 络 安全 测评 的 类 型 。 
18.2.1 基于 测评 目标 分 类 


按照 测评 的 目标 ， 网 络 安全 测评 可 分 为 三 种 类 型 : 网 络 信息 系统 安全 等 级 测评 、 网 络 信息 
系统 安全 验收 测评 和 网 络 信息 系统 安全 风险 测评 。 


1. 网 络 信息 系统 安全 等 级 测评 


网 络 信息 系统 安全 等 级 测评 是 测评 机 构 依据 国家 网 络 安全 等 级 保护 相关 法 律 法 规 ， 按 照 有 
关 管 理 规范 和 技术 标准 ， 对 非 涉及 国家 秘密 的 网 络 信息 系统 的 安全 等 级 保护 状况 进行 检测 评估 
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的 活动 。 网 络 信息 系统 安全 等 级 测评 主要 检测 和 评估 信息 系统 在 安全 技术 、 安 全 管理 等 方面 是 
否 符 合 已 确定 的 安全 等 级 的 要 求 ， 对 于 尚未 符合 要 求 的 信息 系统 ， 分 析 和 评估 其 潜在 威胁 、 注 
弱 环 节 以 及 现 有 安全 防护 措施 ， 综 合 考虑 信息 系统 的 重要 性 和 面临 的 安全 威胁 等 因素 ， 提 出 相 
应 的 整改 建议 ， 并 在 系统 整改 后 进行 复 测 确认 ， 以 确保 网 络 信息 系统 的 安全 保护 措施 符合 相应 
安全 等 级 的 基本 安全 要 求 。 目 前 ， 网 络 信息 系统 安全 等 级 测评 采用 网 络 安全 等 级 保护 2.0 标准 。 


2. 网 络 信息 系统 安全 验收 测评 


网 络 信息 系统 安全 验收 测评 是 依据 相关 政策 文件 要 求 ， 遵 循 公开 、 公 平和 公正 原则 ,根据 
用 户 申 请 的 项 目 验 收 目 标 和 验收 范围 ， 结 合 项 目 安全 建设 方案 的 实现 目标 和 考核 指标 ， 对 项 目 
实施 状况 进行 安全 测试 和 评估 ， 评 价 该 项 目 是 否 满足 安全 验收 要 求 中 的 各 项 安全 技术 指标 和 安 
全 考核 目标 ， 为 系统 整体 验收 和 下 一 步 的 安全 规划 提供 参考 依据 。 


3. 网 络 信息 系统 安全 风险 测评 


网 络 信息 系统 安全 风险 测评 是 从 风险 管理 角度 ,评估 系统 面临 的 威胁 以 及 脆弱 性 导致 安全 
事件 的 可 能 性 ， 并 结合 安全 事件 所 涉及 的 资产 价值 来 判断 安全 事件 一 旦 发 生 对 系统 造成 的 影 
响 ， 提 出 有 针对 性 的 抵御 威胁 的 方法 措施 ， 将 风险 控制 在 可 接受 的 范围 内 ， 达 到 系统 稳定 运行 
的 目的 ， 为 保证 信息 系统 的 安全 建设 、 稳 定 运行 提供 技术 参考 。 网 络 信息 系统 安全 风险 测评 从 
技术 和 管理 两 方面 进行 ， 主 要 内 容 包 括 系统 调查 、 资 产 分 析 、 威 胁 分 析 、 技 术 及 管理 脆弱 性 分 
析 、 安 全 功能 测试 、 风 险 分 析 等 ， 出 具 风 险 评估 报告 ， 提 出 安全 建议 。 


18.2.2 ”基于 测评 内 容 分 类 


依据 网 络 信息 系统 构成 的 要 素 ， 网 络 安全 测评 可 分 成 两 大 类 型 : 技术 安全 测评 和 管理 安全 
测评 。 其 中 ， 技 术 安全 测评 主要 包括 物理 环境 、 网 络 通信 、 操 作 系统 、 数 据 库 系 统 、 应 用 系统 、 
数据 及 存储 系统 等 相关 技术 方面 的 安全 性 测试 和 评估 。 管 理 安全 测评 主要 包括 管理 机 构 、 管 理 
制度 、 管 理 流程 、 人 员 管理 、 系 统 建设 、 系 统 运 维 等 方面 的 安全 性 评估 。 


18.2.3 ”基于 实施 方式 分 类 


按照 网 络 安全 测评 的 实施 方式 ， 测 评 主要 包括 安全 功能 检测 、 安 全 管理 检测 、 代 码 安全 审 
查 、 安 全 渗透 、 信 息 系统 攻击 测试 等 。 


1. 安全 功能 检测 


安全 功能 检测 依据 网 络 信息 系统 的 安全 目标 和 设计 要 求 ， 对 信息 系统 的 安全 功能 实现 状况 
进行 评估 ， 检 查 安 全 功能 是 否 满足 目标 和 设计 要 求 。 安 全 功能 符合 性 检测 的 主要 依据 有 : 《 信 
息 安 全 技术 信息 系统 等 级 保护 安全 设计 技术 要 求 》(GB/T25070 一 2010) 、《 信 息 安 全 技术 信 
息 系统 通用 安全 技术 要 求 》 (GB/T 20271 一 2006) 、 网 络 信息 安全 最 佳 实践 、 网 络 信息 系统 项 
目 安全 需求 说 明 书 等 。 主 要 方法 是 : 访谈 调研 、 现 场 查看 、 文 档 审查 、 社 会 工程 、 漏 洞 扫描 、 
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渗透 测试 、 形 式 化 分 析 验 证 等 。 
2. 安全 管理 检测 
安全 管理 检测 依据 网 络 信息 系统 的 管理 目标 ， 检 查分 析 管 理 要 素 及 机 制 的 安全 状况 ， 评 佑 


安全 管理 是 否 满足 信息 系统 的 安全 管理 目标 要 求 。 主 要 方法 是 : 访谈 调研 、 现 场 查看 、 文 档 审 
查 、 安 全 基线 对 比 、 社 会 工程 等 。 


3. 代码 安全 审查 

代码 安全 审查 是 对 定制 开发 的 应 用 程序 源 代码 进行 静态 安全 扫描 和 审查 ,识别 可 能 导致 安 
全 问题 的 编码 缺陷 和 漏洞 的 过 程 。 

4. 安全 渗透 测试 

通过 模拟 黑客 对 目标 系统 进行 渗透 测试 ， 发 现 、 分 析 并 验证 其 存在 的 主机 安全 漏洞 、 敏 感 


信息 泄露 、SQL 注入 漏洞 、 跨 站 脚本 漏洞 及 弱 口 令 等 安全 隐患 ， 评 估 系 统 抗 攻击 能 力 ， 提 出 安 
全 加 固 建 议 。 


S. 信息 系统 攻击 测试 


根据 用 户 提出 的 各 种 攻击 性 测试 要 求 ， 分 析 应 用 系统 现 有 防护 设备 及 技术 ， 确 定 攻击 测试 
方案 和 测试 内 容 ， 采用 专用 的 测试 设备 及 测试 软件 对 应 用 系统 的 抗 攻 击 能 力 进行 测试 ， 出 具 相 
应 测试 报告 。 测 试 指标 包括 :防御 攻击 的 种 类 与 能 力 ， 如 拒绝 服务 攻击 、 恶 意 代码 攻击 等 。 
18.2.4 ”基于 测评 对 象 保密 性 分 类 

按照 测评 对 象 的 保密 性 质 ， 网 络 安 全 测评 可 分 为 两 种 类 型 : 涉 密 信息 系统 安全 测评 、 非 涉 
密 信息 系统 安全 测评 。 

1. 涉 密 信息 系统 测评 

涉 密 信息 系统 测评 是 依据 国家 保密 标准 ， 从 风险 评估 的 角度 ， 运 用 科学 的 分 析 方法 和 有 效 
的 技术 手段 ， 通 过 对 涉 密 信息 系统 所 面临 的 威胁 及 其 存在 的 脆弱 性 进行 分 析 ， 发 现 系统 存在 的 
安全 保密 隐患 和 风险 ， 同 时 提出 有 针对 性 的 防护 策略 和 保障 措施 ， 为 国家 保密 工作 部 门 对 涉 密 
信息 系统 的 行政 审批 提供 科学 的 依据 。 

2. 非 涉 密 信息 系统 测评 
非 涉 密 信息 系统 测评 是 依据 公开 的 国家 信息 安全 标准 、 行 业 标准 、 信 息 安全 规范 或 业务 
信息 安全 需求 ， 利 用 网 络 信息 安全 技术 方法 和 工具 ， 分 析 信息 系统 面临 的 网 络 安全 威胁 及 存 


在 的 安全 隐患 ， 综 合 给 出 网 络 安全 状况 评估 和 改进 建议 ， 以 指导 相关 部 门 的 信息 安全 建设 和 
保障 工作 。 
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18.3 网 络 安全 测评 流程 与 内 容 


本 节 主 要 叙述 常见 的 网 络 安全 等 级 保护 、 安 全 渗透 测试 等 的 测评 流程 与 内 容 。 
18.3.1 网 络 安全 等 级 保护 测评 流程 与 内 容 

网 络 信息 系统 安全 等 级 测评 内 容 如 图 18-1 所 示 ， 测 评 主要 包括 技术 安全 测评 、 管 理 安全 
测评 。 其 中 ， 技 术 安全 测评 的 主要 内 容 有 安全 物理 环境 、 安 全 通信 网 络 、 安 全 区 域 边界 、 安 全 
计算 环境 、 安 全 管理 中 心 ; 管理 安全 测评 的 主要 内 容 有 安全 管理 制度 、 安 全 管理 机 构 、 安 全 管 
理 人 员 、 安 全 建设 管理 、 安 全 运 维 管理 。 


基本 要 求 


灾 
委 
变 
交 


图 18-1 网 络 安全 等 级 保护 测评 内 容 示 意图 
根据 网 络 安全 等 级 保护 2.0 标准 规范 , 网 络 信息 系统 安全 等 级 测评 过 程 包括 测评 准备 活动 、 
方案 编制 活动 、 现 场 测 评 活动 和 报告 编制 活动 四 个 基本 测评 活动 。 
18.3.2 ”网 络 安全 渗透 测试 流程 与 内 容 


网 络 安全 渗透 测试 的 过 程 可 分 为 委托 受理 、 准 备 、 实 施 、 综 合 评估 和 结 题 五 个 阶段 ， 如 
图 18-2 所 示 。 


受理 | 用 户 确认 海通 性 目标 。 “) 
| 了 

准备 | 签订 授权 书 及 撰写 测试 方案 | 

实施 | [确认 渗透 时 间 ， 执 行 渗 表 方案 | 
| J 

、、，， ! 「 雹 可 个 杯 深 透 到 据 ， 驳 证 安 至 威 及 

Su | 场景 及 安全 影响 

结 题 。 | ”( 模 写 活 远 分 析 报告 及 安全 改进 建议 ) 


18-2 ”网 络 安全 渗透 测试 过 程 示 意图 
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1. 委托 受理 阶段 

售 前 与 委托 单位 就 渗透 测试 项 目 进行 前 期 沟通 ,签署 “保密 协议 ”， 接 收 被 测 单位 提交 的 
资料 。 前 期 沟通 结束 后 ， 双 方 签署 “网 络 信息 系统 渗透 测试 合同 ”。 

2. 准备 阶段 


项 目 经 理 组 织 人 员 依据 客户 提供 的 文档 资料 和 调查 数据 ， 编 写 制定 网 络 信息 系统 渗透 测试 方 
案 。 项 目 经 理 与 客户 沟通 测试 方案 ， 确 定 渗透 测试 的 具体 日 期 、 客 户 方 配合 的 人 员 。 项 目 经 理 协助 
被 测 单位 填写 “网 络 信息 系统 渗透 测试 用 户 授权 单 ”， 并 通知 客户 做 好 测试 前 的 准备 工作 。 如 果 项 
目 需 在 被 测 单位 的 办 公 局 域 网 内 进行 ， 测 试 全 过 程 需 有 客户 方 配合 人 员 在 场 陪同 。 


3. 实施 阶段 

项 目 经 理 明确 项 目 组 测试 人 员 承 担 的 测试 项 。 测 试 完 成 后 ， 项 目 组 整理 渗透 测试 数据 ， 形 
成 “网 络 信息 系统 渗透 测试 报告 ”。 

4. 综合 评估 阶段 

项 目 组 和 客户 沟通 测试 结果 ， 向 客户 发 送 “ 网 络 信息 系统 渗透 测试 报告 ”。 必 要 时 ， 可 根 
据 客户 需要 召开 报告 评审 会 ， 对 “网 络 信息 系统 渗透 测试 报告 ”进行 评审 。 如 被 测 单位 希望 复 
测 ， 由 被 测 单位 在 整改 完毕 后 提交 信息 系统 整改 报告 ， 项 目 组 依据 “网 络 信息 系统 渗透 测试 整 


改 报告 ”开展 复 测 工作 。 复 测 结束 后 ， 项 目 组 依据 复 测 结果 ， 出 具 “ 网 络 信息 系统 渗透 测试 复 
测报 告 ” 

5. 结 题 阶 段 

项 目 组 将 测评 过 程 中 生成 的 各 类 文档 、 过 程 记 录 进 行 整 理 ， 并 交 档 案 管理 员 归 档 保存 。 项 
目 组 质量 工作 人 员 请 客户 填写 “客户 满意 度 调查 表 ”， 收 集 客户 反馈 意见 。 


18.4 网 络 安全 测评 技术 与 工具 


本 节 主 要 内 容 是 网 络 安全 测评 的 常用 技术 及 工具 。 
18.4.1 漏洞 扫描 


漏洞 扫描 常用 来 获取 测评 对 象 的 安全 漏洞 信息 ， 常 用 的 漏洞 扫描 工具 有 网 络 安全 漏洞 扫描 
器 、 主 机 安全 漏洞 扫描 器 、 数 据 库 安全 漏洞 扫描 器 、Web 应 用 安全 漏洞 扫描 器 。 其 中 ， 网 络 安 
全 漏洞 扫描 器 通过 远程 网 络 访问 ， 获 取 测评 对 象 的 安全 漏洞 信息 。 常 见 的 网 络 漏洞 扫描 工具 有 
Nmap、Nessus、OpenVAS。 主 机 安全 漏洞 扫描 器 则 安装 在 测评 目标 的 主机 上 ， 通 过 运行 安全 漏 
洞 扫 描 工具 软件 , 获取 目标 的 安全 漏洞 信息 。 典 型 的 主机 漏洞 扫描 工具 有 微软 安全 基线 分 析 器 、 
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COPS 等 。 数 据 库 安全 漏洞 扫描 器 针对 目标 系统 的 数据 库 进行 安全 漏洞 检查 ， 分 析 数 据 库 账 号 、 
配置 、 软 件 版 本 等 漏洞 信息 。 典 型 的 数据 库 漏洞 扫描 工具 有 安 华 金 和 数据 库 漏洞 扫描 系统 〈 商 
业 产 品 ) 、THC-Hydra、SQLMap 等 。Web 应 用 安全 漏洞 扫描 器 对 Web 应 用 系统 存在 的 安全 隐 
患 进行 检查 。Web 应 用 漏洞 扫描 的 主要 工具 有 w3af (开源 ) 、Nikto (开源 ) 、AppScan (商业 ) 、 
Acunetix WVS (商业 ) 等 。 


18.4.2 ”安全 渗透 测试 


安全 渗透 测试 通过 模拟 攻击 者 对 测评 对 象 进行 安全 攻击 ， 以 验证 安全 防护 机 制 的 有 效 性 。 
根据 对 测评 对 象 掌握 的 信息 状况 ， 安 全 渗透 测试 可 以 分 为 三 种 类 型 。 


1. 黑 盒 模型 
只 需要 提供 测试 目标 地 址 ， 授 权 测试 团队 从 指定 的 测试 点 进行 测试 。 
2. 和 白 盒 模型 


需要 提供 尽 可 能 详细 的 测试 对 象 信息 , 测试 团队 根据 所 获取 的 信息 , 制订 特殊 的 渗透 方案 ， 
对 系统 进行 高 级 别 的 安全 测试 。 该 方式 适合 高 级 持续 威胁 者 模拟 。 


3. 灰 盒 模型 


需要 提供 部 分 测试 对 象 信息 ， 测 试 团队 根据 所 获取 的 信息 ， 模 拟 不 同 级 别 的 威胁 者 进行 渗 
透 。 该 方式 适合 手机 银行 和 代码 安全 测试 。 

安全 渗透 测试 常用 的 工具 有 Metasploit、 字典 生成 器 、GDB、 Backtrack 4、Burpsuit、 OllyDbg、 
IDA Pro 等 。 


18.4.3 ”代码 安全 审查 


代码 安全 审查 是 指 按照 C、Java、OWASP 等 安全 编程 规范 和 业务 安全 规范 ， 对 测评 对 象 
的 源 代码 或 二 进 制 代码 进行 安全 符合 性 检查 。 

典型 的 代码 安全 缺陷 类 型 有 缓冲 区 溢出 、 代 码 注 入 、 跨 站 脚本 、 输 入 验证 、API 误 用 、 密 
码 管理 、 配 置 错误 、 和 危险 函数 等 。 源 代码 安全 审查 参考 的 标准 规范 主要 有 CERT C/C++/Java 安 
全 编码 标准 、MISRA C/C++、ISO/EC TR 24772、CWE、OWASP Top 10、CWE/SANS Top 25 
等 。 常用 的 源 代码 安全 检查 工具 有 HP Fortify (商业 产品 ) 、 IBM Rational AppScan Source Edition 
(商业 产品 ) 、Checkmarx 〈 商 业 产品 ) 、FindBugs (开源 工具 ) 、PMD (开源 工具 ) 、360 代 
码 卫士 〈 商 业 产品 ) 等 。 


18.4.4 协议 分 析 


协议 分 析 用 于 检测 协议 的 安全 性 。 常 见 的 网 络 协议 分 析 工 具有 TCPDump、Wireshark。 
TCPDump 提供 命令 行 方式 ， 提 供 灵 活 的 包 过 滤 规 则 ， 是 一 个 有 力 的 网 络 协议 分 析 工具 。 


3:; 国 


旱 3s6 项 。 信息 安全 工程 师 教 程 第 2 版 ) 


TCPDump 既 支 持 OpenBSD、Linux、Solaris 等 UNIX 系统 ， 又 支持 Windows 环境 。TCPDump 
在 Windows 环境 下 的 名 称 为 WinDump, 但 WinDump 的 用 法 与 TCPDump 的 用 法 是 一 样 的 ， 只 
需 将 命令 行 的 TCPDump 改 为 WinDump 即 可 。TCPDump 的 命令 功能 如 表 18-2 所 示 。 


表 18-2 TCPDump 命令 功能 


命令 选项 描 述 

-a 将 网 络 地 址 和 广播 地 址 转换 成 名 字 

-d 将 匹配 信息 包 的 代码 以 能 够 理解 的 汇编 格式 给 出 

-dd 将 匹配 信息 包 的 代码 以 C 语言 程序 段 的 格式 给 出 
-ddd 将 匹配 信息 包 的 代码 以 十 进 制 的 形式 给 出 

-e 在 输出 行 打印 数据 链 路 层 的 头 部 信息 

沁 将 外 部 的 Intemet 地 址 以 数字 的 形式 打印 

-1 使 标准 输出 变 为 缓冲 行 形式 

1 不 把 网 络 地 址 转换 成 名 字 

t 在 输出 的 每 一 行 不 打印 时 间 截 

-V 输出 一 个 稍微 详细 的 信息 ， 例 如 在 IP 包 中 可 以 包括 TTL 和 服务 类 型 的 信息 
-vv 输出 详细 的 报 文 信息 

-C 在 收 到 指定 的 包 的 数目 后 ，TCPDump 就 会 停止 

-F 从 指定 的 文件 中 读 取 表 达 式 ， 忽 略 其 他 的 表达 式 

-i 指定 监听 的 网 络 接口 

工 从 指定 的 文件 中 读 取 包 (这些 包 一 般 通 过 -w 选项 产生 ) 

-Ww 直接 将 包 写 入 文件 中 ， 不 分 析 和 打印 

将 监听 到 的 包 直接 解释 为 指定 的 报 文 类 型 ， 常 见 的 类 型 有 RPC (远程 过 程 调用 ) 和 


SNMP (简单 网 络 管理 协议 ) 


TCPDump 除了 以 上 的 命令 选项 外 , 还 支持 正则 表达 式 。TCPDump 的 表达 式 是 一 个 过 滤 规 
则 ， 根 据 正 则 表达 式 ，TCPDump 过 滤 网 络 数据 包 ， 如 果 一 个 网 络 数据 包 满足 表达 式 的 条 件 ， 
则 这 个 网 络 数据 包 将 会 被 捕获 。 如 果 没 有 给 出 任何 正则 表达 式 ， 则 网 络 上 所 有 的 信息 包 都 将 会 
被 截获 。TCPDump 的 表达 式 中 一 般 有 三 种 类 型 的 关键 字 。 

1. 类 型 关键 字 


类 型 关键 字 主 要 包括 host、net、port。 例 如 : 

。 hostXYZ.2 指明 XYZ.2 是 一 台 主 机 。 

。 ”net X.Y.Z.0 指明 XYZ.0 是 一 个 网 络 地 址 。 

。 port 23 指明 端口 号 是 23。 如 果 没 有 指定 类 型 ， 默 认 的 类 型 是 host。 


2. 传输 方向 关键 字 


确定 传输 方向 的 关键 字 主 要 包括 src、dst、dst or src、dst and src， 这 些 关 键 字 指明 监听 的 
通信 内 容 传输 方向 。 例 如 : 
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e srcXYZ.2 指明 耳 包 中 源 地 址 是 和 TYZ.2。 

。 dstnetXYZ.0 指明 目的 网 络 地 址 是 XYZ.0。 

。 ”如 果 没 有 指明 方向 关键 字 ， 则 默认 是 dst or src 关键 字 。 

3. 协议 关键 字 

协议 关键 字 指 明 监 听 包 的 协议 内 容 ， 主 要 包括 FDDI、IP、ARP、RARP、TCP、UDP 等 类 
型 。FDDI 指明 是 FDDI (光纤 分 布 式 数据 接口 网 络 ) 上 的 特定 的 网 络 协 议 , 实际 上 它 是 “Ether” 
的 别名 ，FDDI 和 Ether 具有 类 似 的 源 地 址 和 目的 地 址 ， 所 以 可 以 将 FDDI 协议 包 当 作 Ether 的 
包 进行 处 理 和 分 析 。 如 果 没 有 指定 任何 协议 ， 则 TCPDump 将 会 监听 所 有 协议 的 信息 包 。 

除了 上 述 三 种 类 型 的 关键 字 之 外 ， 其 他 关键 字 有 Gateway、Broadcast、Less、 和 Greater。 
此 外 ，TCPDump 还 提供 三 种 逻辑 运算 功能 ， 包 括 非 运算 “not”“!”， 与 运算 “and”“&&”， 
或 运算 “or”“||”。 通 过 这 些 关键 字 及 逻辑 运算 符 ， 可 以 构成 灵活 的 过 滤 规 则 。 

TCPDump 的 应 用 非常 灵活 ， 下 面 举例 说 明 。 

(1) 截获 X.Y.Z.61 主机 收 到 的 和 发 出 的 所 有 数据 包 ， 使 用 如 下 命令 : 


tcpdump host X.Y.2.61 


(2) 截获 主机 X.Y.Z.1 和 主机 X.Y.Z.2 或 X.Y.Z.3 的 通信 (在 命令 行 中 使 用 括号 时 ， 一 定 要 
在 括号 前 应 用 转 义 字符 “\”) ， 使 用 如 下 命令 : 


topdomp host XY.2.1 and \ (XY262 or X.Y2.3 NA) 


(3) 监听 主机 X.Y.Z.1 与 除了 主机 X.Y.Z.2 之 外 的 其 他 所 有 主机 通信 的 IP 包 ， 使 用 如 下 
命令 : 


tcpdump ip host X.Y.2.1 and ! X.Y.2.2 
(4) 获取 主机 X.Y.Z.1 接收 或 发 出 的 Telnet 包 ， 使 用 如 下 命令 : 
tcpdump tcp port 23 host X.Y.2.1 

18.4.5 ”性 能 测试 


性 能 测试 用 于 评估 测评 对 象 的 性 能 状况 , 检查 测评 对 象 的 承载 性 能 压力 或 安全 对 性 能 的 影 
响 。 常用 的 性 能 测试 工具 有 性 能 监测 工具 (操作 系统 自 带 ) 、Apache JMeter (开源 ) 、LoadRunner 
(商业 产品 ) 、SmartBits 〈 商 业 产 品 ) 等 。 


1. 性 能 监测 工具 


性 能 监测 工具 主要 有 : Windows 操作 系统 的 任务 管理 器 、ping 系统 命令 、tracert 系统 命令 ; 
UNIX/Linux 操作 系统 的 ping 系统 命令 、traceroute 系统 命令 、UnixBench 工具 。 
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2. Apache JMeter 

Apache JMeter 是 用 于 测试 Web 应 用 性 能 和 功能 的 工具 ， 能 够 支持 Web、FTP、 数 据 库 、 
LDAP 等 性 能 测试 。 

3. LoadRunner 


LoadRunner 是 软件 测试 工具 , 用 于 评估 系统 在 不 同 压力 下 的 性 能 状况 ， 提 供 负载 生成 、 虚 
拟 用 户 创建 、 测 试 控制 、 测 试 分 析 等 功能 。 


4. SmartBits 


SmartBits 是 用 于 网 络 及 设备 性 能 测试 和 评估 分 析 的 测量 设备 。 
18.5 网 络 安全 测评 质量 管理 与 标准 


本 节 主 要 内 容 是 网 络 安全 测评 的 质量 管理 ， 同 时 给 出 了 网 络 安全 测评 所 采用 的 主要 标准 。 
18.5.1 网 络 安全 测评 质量 管理 


网 络 安全 测评 质量 管理 是 测评 可 信 的 基础 性 工作 , 网 络 安全 测评 质量 管理 工作 主要 包括 测 
评 机 构建 立 质量 管理 体系 、 测 评 实施 人 员 管 理 、 测 评 实施 设备 管理 、 测 评 实施 方法 管理 、 测 评 
实施 文件 控制 、 测 评 非 符 合 性 工作 控制 、 体 系 运行 监督 、 持 续 改进 。 目 前 ， 有 关 测 评 机 构 的 质 
量 管理 体系 的 建立 主要 参考 的 国际 标准 是 ISO 9000。 

中 国 合格 评定 国家 认可 委员 会 (简称 CNAS) 负责 对 认证 机 构 、 实 验 室 和 检查 机 构 等 相关 
单位 的 认可 工作 ， 对 申请 认可 的 机 构 的 质量 管理 体系 和 技术 能 力 分 别 进行 确认 。 


18.5.2 ”网 络 安全 测评 标准 


网 络 安全 标准 是 测评 工作 开展 的 依据 ,目前 国内 信息 安全 测评 标准 类 型 可 分 为 信息 系统 安 
全 等 级 保护 测评 标准 、 产 品 测评 标准 、 风 险 评估 标准 、 密 码 应 用 安全 、 工 业 控 制 系统 信息 安全 
防护 能 力 评估 等 。 其 中 ， 各 类 网 络 安全 测评 标准 曾 述 如 下 。 


1. 信息 系统 安全 等 级 保护 测评 标准 


1) 计算 机 信息 系统 安全 保护 等 级 划分 准则 (GB 17859 一 1999) 

本 标准 规定 了 计算 机 信息 系统 安全 保护 能 力 的 五 个 等 级 ， 即 第 一 级 为 用 户 自主 保护 级 ， 第 
二 级 为 系统 审计 保护 级 ， 第 三 级 为 安全 标记 保护 级 ， 第 四 级 为 结构 化 保护 级 ， 第 五 级 为 访问 验 
证 保护 级 。 本 标准 适用 于 计算 机 信息 系统 安全 保护 技术 能 力 等 级 的 划分 。 计 算 机 信息 系统 安全 
保护 能 力 随 着 安全 保护 等 级 的 增高 ， 逐 渐 增 强 。 
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2) 信息 安全 技术 网 络 安全 等 级 保护 基本 要 求 (GB/T 22239 一 2019) 

本 标准 规定 了 网 络 安全 等 级 保护 的 第 一 级 到 第 四 级 等 级 保护 对 象 的 安全 通用 要 求 和 安全 扩展 
要 求 。 本 标准 适用 于 指导 分 等 级 的 非 涉 密 对 象 的 安全 建设 和 监督 管理 。 ( 注 : 第 五 级 等 级 保护 对 象 
是 非常 重要 的 监督 管理 对 象 ， 对 其 有 特殊 的 管理 模式 和 安全 要 求 ， 所 以 不 在 本 标准 中 进行 描述 。) 

3) 信息 安全 技术 网 络 安全 等 级 保护 定 级 指南 (GB/T 22240 一 2020) (于 2020 年 11 月 1 
日 开始 实施 ) 

本 标准 规定 了 网 络 安全 等 级 保护 的 定 级 方法 和 定 级 流程 。 本 标准 适用 于 为 等 级 保护 对 象 的 
定 级 工作 提供 指导 。 

4) 信息 安全 技术 网 络 安全 等 级 保护 安全 设计 技术 要 求 (GB/T 25070 一 2019) 

本 标准 规定 了 网 络 安全 等 级 保护 第 一 级 到 第 四 级 等 级 保护 对 象 的 安全 设计 技术 要 求 。 本 标 
准 适用 于 指导 运营 使 用 单位 、 网 络 安全 企业 、 网 络 安全 服务 机 构 开 展 网 络 安全 等 级 保护 安全 技 
术 方 案 的 设计 和 实施 ， 也 可 作为 网 络 安全 职能 部 门 进行 监督 、 检 查 和 指导 的 依据 。 

5) 信息 安全 技术 网 络 安全 等 级 保护 实施 指南 (GB/T 25058 一 2019) 

本 标准 规定 了 等 级 保护 对 象 实施 网 络 安全 等 级 保护 工作 的 过 程 。 本 标准 适用 于 指导 网 络 安 
全 等 级 保护 工作 的 实施 。 

6) 信息 安全 技术 信息 系统 安全 工程 管理 要 求 〈GB/T 20282 一 2006) 

本 标准 规定 了 信息 安全 工程 〈 以 下 简称 安全 工程 ) 的 管理 要 求 ， 是 对 信息 系统 安全 工程 中 
所 涉及 的 需求 方 、 实 施 方 与 第 三 方 工程 实施 的 指导 , 各 方 可 以 此 为 依据 建立 安全 工程 管理 体系 。 
本 标准 按照 GB 17859 一 1999 划分 的 五 个 安全 保护 等 级 ， 规 定 了 信息 系统 安全 工程 管理 的 不 同 
要 求 。 本 标准 适用 于 信息 系统 的 需求 方 和 实施 方 的 安全 工程 管理 , 其 他 有 关 各 方 也 可 参照 使 用 。 

7) 信息 安全 技术 应 用 软件 系统 安全 等 级 保护 通用 技术 指南 (GA/T 711 一 2007) 

本 标准 为 按照 信息 系统 安全 等 级 保护 的 要 求 设计 和 实现 所 需要 的 安全 等 级 的 应 用 软件 系 
统 提 供 指导 ， 主 要 说 明 为 实现 GB 17859 一 1999 所 规定 的 每 一 个 安全 保护 等 级 ， 应 用 软件 系统 
应 达到 的 安全 技术 要 求 。 本 标准 是 对 各 个 应 用 领域 的 应 用 软件 系统 普遍 适用 的 安全 技术 要 素 的 
概括 描述 。 不 同 应 用 领域 的 应 用 软件 系统 应 根据 需要 选取 不 同 的 安全 技术 要 素 ， 以 满足 其 各 自 
业务 应 用 的 具体 安全 需求 。 

8) 信息 安全 技术 网 络 安全 等 级 保护 基本 要 求 第 2 部 分 : 云 计算 安全 扩展 要 求 (GA/T 1390.2 一 
2017) 

本 标准 规定 了 不 同安 全 保护 等 级 云 计 算 平台 及 云 租户 业务 应 用 系统 的 安全 保护 要 求 。 适 用 
于 指导 分 等 级 的 非 涉 密云 计算 平台 及 云 租户 业务 应 用 系统 的 安全 建设 和 监督 管理 。 

9) 信息 安全 技术 网 络 安全 等 级 保护 基本 要 求 第 3 部 分 : 移动 互联 安全 扩展 要 求 (GA/T 13903 一 
2017) 

本 标准 规定 了 采用 移动 互联 技术 不 同安 全 保护 等 级 保护 对 象 的 基本 保护 要 求 。 适 用 于 指导 
分 等 级 的 非 涉 密 等 级 保护 对 象 的 安全 建设 和 监督 管理 。 

10) 信息 安全 技术 网 络 安全 等 级 保护 基本 要 求 第 5 部 分 : 工业 控制 系统 安全 扩展 要 求 
(GA/T 1390.5 一 2017) 
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本 标准 规定 了 不 同安 全 保护 等 级 工业 控制 系统 的 安全 扩展 要 求 。 适 用 于 批量 控制 、 连 续 控 
制 、 离 散 控制 等 工业 控制 系统 ， 为 工业 控制 系统 网 络 安全 等 级 保护 措施 的 设计 、 落 实 、 测 试 、 
评估 等 提供 指导 要 求 。 


2. 产品 测评 标准 


信息 技术 产品 类 标准 主要 涉及 服务 器 、 操 作 系 统 、 数 据 库 、 应 用 系统 、 网 络 核心 设备 、 网 
络 安全 设备 、 安 全 管理 平台 等 。 

1) 信息 技术 安全 技术 信息 技术 安全 评估 准则 (GB/T 18336 一 2015) 

本 标准 共 分 为 3 部 分 : 第 1 部 分 简介 和 一 般 模型 建立 了 IT 安全 评估 的 一 般 概念 和 原则 ， 详 细 
描述 了 ISO/EC 15408 各 部 分 给 出 的 一 般 评 估 模 型 ， 该 模型 整体 上 可 作为 评估 工厂 产品 安全 属性 的 
基础 。 第 2 部 分 安全 功能 组 件 , 给 出 了 11 个 功能 类 ， 包 括 安 全 审计 (FAU 类 ) 、 通 信 (FCO 类 ) 、 
密码 支持 (FCS 类 ) 、 用 户 数据 保护 (FDP 类 ) 、 标 识 和 鉴别 (FIA 类 ) 、 安 全 管理 (FMT 类 ) 、 
隐秘 (FPR 类 ) 、TSF 保护 (FPT 类 ) 、 资 源 利用 (FRU 类 ) 、TOE 访问 〈FIA 类 ) 和 可 信 路 径 / 
信道 (FTP 类 ) 。 第 3 部 分 安全 保障 组 件 ， 给 出 了 8 个 保障 类 ， 包 括 保护 轮廓 评估 (APE 类 ) 、 安 
全 目标 评估 (ASE 类 ) 、 开 发 (ADV 类 ) 、 指 导 性 文档 (AGD 类 ) 、 生 命 周 期 支持 (ALC 类 ) 、 
测试 (ATE 类 )、 脆 弱 性 评定 (AVA 类 )、 组 合 (ACO 类 ) 。 根据 安全 保障 的 要 求 程度 , 结合 ISO/IEC 
15408 的 内 容 ， 对 TOE 的 保障 等 级 定义 了 7 个 逐步 增强 的 评估 保障 级 (EAL) 。 

2) 信息 安全 技术 路 由 器 安全 技术 要 求 (GB/T 18018 一 2019) 

本 标准 分 等 级 规定 了 路 由 器 的 安全 功能 要 求 和 安全 保障 要 求 , 适用 于 路 由 器 产品 安全 性 的 
设计 和 实现 ， 对 路 由 器 产品 进行 的 测试 、 评 估 和 管理 也 可 参照 使 用 。 

3) 信息 安全 技术 路 由 器 安全 评估 准则 (GB/T 20011 一 2005) 

本 标准 从 信息 技术 方面 规定 了 按照 GB 17859 一 1999 的 五 个 安全 保护 等 级 中 的 前 三 个 等 
级 ， 对 路 由 器 产品 安全 保护 等 级 划分 所 需要 的 评估 内 容 。 本 标准 适用 于 路 由 器 安全 保护 等 级 的 
评估 ， 对 路 由 器 的 研制 、 开 发 、 测 试 和 产品 采购 也 可 参照 使 用 。 

4) 信息 安全 技术 服务 器 安全 技术 要 求 (GB/T 21028 一 2007) 

本 标准 依据 GB 17859 一 1999 的 五 个 安全 保护 等 级 的 划分 ， 规 定 了 服务 器 所 需要 的 安全 技 
术 要 求 ， 以 及 每 一 个 安全 保护 等 级 的 不 同安 全 技术 要 求 。 本 标准 适用 于 按 GB 17859 一 1999 的 
五 个 安全 保护 等 级 的 要 求 所 进行 的 等 级 化 服务 器 的 设计 、 实 现 \. 选 购 和 使 用 。 按 GB 17859 一 1999 
的 五 个 安全 保障 等 级 的 要 求 对 服务 器 安全 进行 的 测试 和 管理 也 可 参照 使 用 。 

5) 信息 安全 技术 服务 器 安全 测评 要 求 (GB/T 25063 一 2010) 

本 标准 规定 了 服务 器 安全 的 测评 要 求 ， 包 括 第 一 级 、 第 二 级 、 第 三 级 和 第 四 级 服务 器 安全 
测评 要 求 。 本 标准 没有 规定 第 五 级 服务 器 安全 测评 的 具体 内 容 要 求 。 本 标准 适用 于 测评 机 构 从 
信息 安全 等 级 保护 的 角度 对 服务 器 安全 进行 的 测评 工作 。 信 息 系统 的 主管 部 门 及 运营 使 用 单 
位 、 服 务 器 软 硬 件 生产 厂商 也 可 参考 使 用 。 

6) 信息 安全 技术 网 络 交换 机 安全 技术 要 求 (GB/T 21050 一 2019) 

本 标准 规定 了 网 络 交换 机 达到 EAL2 和 EAL3 的 安全 功能 要 求 及 安全 保障 要 求 ， 涵 盖 了 安 
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全 问题 定义 、 安 全 目的 、 安 全 要 求 等 内 容 。 本 标准 适用 于 网 络 交换 机 的 测试 、 评 估 和 采购 ， 也 
可 用 于 指导 该 类 产品 的 研制 和 开发 。 

7) 信息 安全 技术 数据 库 管 理 系 统 安全 评估 准则 (GB/T 20009 一 2019) 

本 标准 依据 GB/T 20273 一 2019 规定 了 数据 库 管理 系统 安全 评估 总 则 、 评 估 内 容 和 评估 方 
法 。 本 标准 适用 于 数据 库 管理 系统 的 测试 和 评估 ， 也 可 用 于 指导 数据 库 管理 系统 的 研发 。 

8) 信息 安全 技术 数据 库 管 理 系 统 安全 技术 要 求 (GB/T 20273 一 2019) 

本 标准 规定 了 数据 库 管 理 系 统 评估 对 象 描述 , 不同 评估 保障 级 的 数据 库 管理 系统 安全 问题 
定义 、 安 全 目的 和 安全 要 求 , 安全 问题 定义 与 安全 目的 、 安全 目的 与 安全 要 求 之 间 的 基本 原理 。 
本 标准 适用 于 数据 库 管理 系统 的 测试 、 评 估 和 采购 ， 也 可 用 于 指导 数据 库 管理 系统 的 研发 。 

9) 信息 安全 技术 操作 系统 安全 评估 准则 (GB/T 20008 一 2005) 

本 标准 从 信息 技术 方面 规定 了 按照 GB 17859 一 1999 的 五 个 安全 保护 等 级 对 操作 系统 安全 
保护 等 级 划分 所 需要 的 评估 内 容 。 本 标准 适用 于 计算 机 通用 操作 系统 的 安全 保护 等 级 评估 ， 对 
于 通用 操作 系统 安全 功能 的 研制 、 开 发 和 测试 亦 可 参照 使 用 。 

10) 信息 安全 技术 操作 系统 安全 技术 要 求 (GB/T 20272 一 2019) 

本 标准 规定 了 五 个 安全 等 级 操作 系统 的 安全 技术 要 求 。 本 标准 适用 于 操作 系统 安全 性 的 研 
发 、 测 试 、 维 护 和 评价 。 

11) 信息 安全 技术 网 络 入 侵 检测 系统 技术 要 求 和 测试 评价 方法 〈GB/T 20275 一 2013) 

本 标准 规定 了 网 络 入 侵 检 测 系统 的 技术 要 求 和 测试 评价 方法 ， 要 求 包括 安全 功能 要 求 、 自 
身 安 全 功能 要 求 、 安 全 保证 要 求 和 测试 评价 方法 ， 并 提出 了 网 络 入 侵 检 测 系统 的 分 级 要 求 。 本 
标准 适用 于 网 络 入 侵 检测 系统 的 设计 、 开 发 、 测 试 和 评价 。 

12) 信息 安全 技术 网 络 和 终端 隔离 产品 测试 评价 方法 (GB/T 20277 一 2015) 

本 标准 依据 GB/T 20279 一 2015 的 技术 要 求 , 规定 了 网 络 和 终端 隔离 产品 的 测试 评价 方法 。 
本 标准 适用 于 按照 GB/T 20279 一 2015 的 安全 等 级 要 求 所 开发 的 网 络 和 终端 隔离 产品 的 测试 和 
评价 。 

13) 信息 安全 技术 网 络 脆弱 性 扫描 产品 测试 评价 方法 (GB/T 20280 一 2006) 

本 标准 规定 了 对 采用 传输 控制 协议 和 网 际 协议 〈TCPAP) 的 网 络 脆弱 性 扫描 产品 的 测试 、 
评价 方法 。 本 标准 适用 于 对 计算 机 信息 系统 进行 人 工 或 自动 的 网 络 脆弱 性 扫描 的 安全 产品 的 评 
测 、 研 发 和 应 用 。 本 标准 不 适用 于 专门 对 数据 库 系统 进行 脆弱 性 扫描 的 产品 。 

14) 信息 安全 技术 防火 墙 安全 技术 要 求 和 测试 评价 方法 (GB/T 20281 一 2020) (于 2020 
年 11 月 1 日 开始 实施 ) 

本 标准 规定 了 防火 墙 的 等 级 划分 、 安 全 技术 要 求 及 测评 方法 。 本 标准 适用 于 防火 墙 的 设计 、 
开发 与 测试 。 

15) 信息 安全 技术 Web 应 用 防火 墙 安全 技术 要 求 与 测试 评价 方法 (GB/T 32917 一 2016) 

本 标准 规定 了 Web 应 用 防火 墙 的 安全 功能 要 求 、 自 身 安全 保护 要 求 、 性 能 要 求 和 安全 
保障 要 求 ， 并 提供 了 相应 的 测试 评价 方法 。 本 标准 适用 于 Web 应 用 防火 墙 的 设计 、 生 产 、 
检测 及 采购 。 
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16) 信息 安全 技术 信息 系统 安全 审计 产品 技术 要 求 和 测试 评价 方法 (GB/T 20945 一 2013) 

本 标准 规定 了 信息 系统 安全 审计 产品 的 技术 要 求 和 测试 评价 方法 , 技术 要 求 包 括 安全 功能 
要 求 、 自 身 安全 功能 要 求 和 安全 保证 要 求 ， 并 提出 了 信息 系统 安全 审计 产品 的 分 级 要 求 。 本 标 
准 适用 于 信息 系统 安全 审计 产品 的 设计 、 开 发 、 测 试 和 评价 。 

17) 信息 安全 技术 网 络 型 入 侵 防 御 产品 技术 要 求 和 测试 评价 方法 (GB/T 28451 一 2012) 

本 标准 规定 了 网 络 型 入 侵 防 御 产 品 的 功能 要 求 、 产 品 自身 安全 要 求 和 产品 保证 要 求 ， 
并 提出 了 入 侵 防 御 产 品 的 分 级 要 求 。 本 标准 适用 于 网 络 型 入 侵 防 物产 品 的 设计 、 开 发 、 测 
试 和 评价 。 

18) 信息 安全 技术 数据 备份 与 恢复 产品 技术 要 求 与 测试 评价 方法 (GB/T 29765 一 2013) 

本 标准 规定 了 数据 备份 与 恢复 产品 的 技术 要 求 与 测试 评价 方法 。 本 标准 适用 于 对 数据 备份 
与 恢复 产品 的 研制 、 生 产 、 测 试 、 评 价 。 本 标准 所 指 的 数据 备份 与 恢复 产品 是 指 实现 和 管理 信 
息 系统 数据 备份 和 恢复 过 程 的 产品 ， 不 包括 数据 复制 产品 和 持续 数据 保护 产品 。 

19) 信息 安全 技术 信息 系统 安全 管理 平台 技术 要 求 和 测试 评价 方法 (GB/T 34990 一 2017) 

本 标准 依据 国家 信息 安全 等 级 保护 要 求 ， 提 出 了 统一 管理 安全 机 制 的 平台 ， 规 定 了 安全 管 
理 平台 的 基于 信息 安全 策略 和 管理 责任 的 系统 管理 、 安 全 管理 、 审 计 管理 等 功能 ， 以 及 对 象 识 
别 、 策 略 设置 、 安 全 监控 、 事 件 处 置 等 过 程 的 平台 功能 要 求 ， 平 台 自身 的 安全 要 求 、 保 障 要 求 ， 
以 及 测试 评价 方法 。 本 标准 适用 于 安全 管理 平台 的 规划 、 设 计 、 开 发 和 检测 评估 ， 以 及 在 信息 
系统 安全 管理 中 心中 的 应 用 。 

20) 信息 安全 技术 移动 终端 安全 保护 技术 要 求 (GB/T 35278 一 2017) 

本 标准 规定 了 移动 终端 的 安全 保护 技术 要 求 ， 包 括 移动 终端 的 安全 目的 、 安 全 功能 要 求 和 
安全 保障 要 求 。 本 标准 适用 于 移动 终端 的 设计 、 开 发 、 测 试 和 评估 。 


3. 信息 安全 风险 评估 标准 


1) 信息 安全 技术 信息 安全 风险 评估 规范 (GB/T 20984 一 2007) 

本 标准 提出 了 风险 评估 的 基本 概念 、 要 素 关 系 、 分 析 原 理 、 实 施 流 程 和 评估 方法 ， 以 及 风 
险 评估 在 信息 系统 生命 周期 不 同 阶段 的 实施 要 点 和 工作 形式 。 本 标准 适用 于 规范 组 织 开 展 的 风 
险 评估 工作 。 

2) 信息 安全 技术 信息 安全 风险 评估 实施 指南 (GB/T 31509 一 2015) 

本 标准 规定 了 信息 安全 风险 评估 实施 的 过 程 和 方法 。 本 标准 适用 于 各 类 安全 评估 机 构 或 被 
评估 组 织 对 非 涉 密 信息 系统 的 信息 安全 风险 评估 项 目的 管理 , 指导 风险 评估 项 目的 组 织 、 实 施 、 
验收 等 工作 。 

3) 信息 安全 技术 信息 安全 风险 处 理 实施 指南 (GB/T 33132 一 2016) 

本 标准 给 出 了 信息 安全 风险 处 理 的 基本 概念 、 处 理 原则 、 处 理 方式 、 处 理 流程 以 及 处 理 结 
束 后 的 效果 评价 等 管理 过 程 和 方法 ， 并 对 处 理 过 程 中 的 角色 和 职责 进行 了 定义 。 本 标准 适用 于 
指导 信息 系统 运营 使 用 单位 和 信息 安全 服务 机 构 实 施 信息 安全 风险 处 理 活动 。 
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4. 密码 应 用 安全 


1) 安全 芯片 密码 检测 准则 (GMAT 0008 一 2012) 

本 标准 规定 了 安全 能 力 依次 递增 的 三 个 安全 等 级 ， 以 及 适用 于 各 安全 等 级 安全 芯片 的 密码 
检测 要 求 。 本 标准 适用 于 安全 芯片 的 密码 检测 ， 亦 可 指导 安全 芯片 的 研制 。 

2) 可 信 计 算 可 信 密 码 模块 符合 性 检测 规范 〈GMVT 0013 一 2012) 

本 标准 以 GM/T 0011 一 2012《 可 信 计 算 可 信 密 码 支撑 平台 功能 与 接口 规范 》 为 基础 ， 定 
义 了 可 信 密 码 模块 的 命令 测试 向 量 ， 并 提供 有 效 的 测试 方法 与 灵活 的 测试 脚本 。 本 标准 只 适用 
于 可 信 密 码 模块 的 符合 性 测试 ， 不 能 取代 其 安全 性 检查 。 可 信 密 码 模块 的 安全 性 检测 需要 按照 
其 他 相关 规范 来 进行 。 

3) 密码 模块 安全 技术 要 求 (GMAT 0028 一 2014) 

本 标准 针对 用 于 保护 计算 机 与 电信 系统 内 敏感 信息 的 安全 系统 所 使 用 的 密码 模块 ,规定 了 
安全 要 求 。 本 标准 为 密码 模块 定义 了 4 个 安全 等 级 ， 以 满足 敏感 数据 以 及 众多 应 用 领域 的 、 不 
同 程度 的 安全 需求 。 针 对 密码 模块 的 11 个 安全 域 ， 本 标准 分 别 给 出 了 4 个 安全 等 级 的 对 应 要 
求 ， 高 安全 等 级 在 低 安全 等 级 的 基础 上 进一步 提高 了 安全 性 。 

4) 服务 器 密码 机 技术 规范 (GM/T 0030 一 2014) 

本 标准 定义 了 服务 器 密码 机 的 相关 术语 ， 规 定 了 服务 器 密码 机 的 功能 要 求 、 硬 件 要 求 、 软 
件 要 求 、 安 全 性 要 求 及 检测 要 求 等 有 关内 容 。 本 标准 适用 于 服务 器 密码 机 的 研制 、 使 用 ， 也 可 
用 于 指导 服务 器 密码 机 的 检测 。 

5) 基于 角色 的 授权 管理 与 访问 控制 技术 规范 (GM/T 0032 一 2014) 

本 标准 规定 了 基于 角色 的 授权 与 访问 控制 框架 结构 及 框架 内 各 组 成 部 分 的 逻辑 关系 ; 定义 
了 各 组 成 部 分 的 功能 、 操 作 流 程 及 操作 协议 ;定义 了 访问 控制 策略 描述 语言 、 授 权 策略 描述 语 
言 的 统一 格式 和 访问 控制 协议 的 标准 接口 。 本 标准 适用 于 公 钥 密码 技术 体系 下 基于 角色 的 授权 
与 访问 控制 系统 的 研制 ， 并 可 指导 对 该 类 系统 的 检测 及 相关 应 用 的 开发 。 

6) 证 书 认 证 系统 检测 规范 (GM/T 0037 一 2014) 

本 标准 规定 了 证 书 认 证 系统 的 检测 内 容 与 检测 方法 。 本 标准 适用 于 为 电子 签名 提供 电子 认 
证 服务 ， 按 照 GM/T 0034 一 2014 研制 或 建设 的 证 书 认 证 服务 运营 系统 的 检测 ， 也 可 为 其 他 证 
书 认证 系统 的 检测 提供 参考 。 

7) 密码 模块 安全 检测 要 求 (GMAT 0039 一 2015) 

本 标准 依据 GM/T 0028 一 2014 的 要 求 , 规定 了 密码 模块 的 一 系列 检测 规程 、 检 测 方法 和 对 
应 的 送 检 文 档 要 求 。 本 标准 适用 于 密码 模块 的 检测 。 

8) 数字 证 书 互 操作 检测 规范 (GM/T 0043 一 2015) 

本 标准 依据 GM/T 0015 和 GM/T 0034 的 要 求 规定 了 数字 证 书 互 操作 的 检测 内 容 与 检测 方 
法 。 本 标准 适用 于 证 书 认证 系统 签发 的 数字 证 书 的 检测 。 

9) 金融 数据 密码 机 检测 规范 (GM/T 0046 一 2016) 

本 标准 规定 了 金融 数据 密码 机 的 检测 要 求 和 检测 方法 。 本 标准 适用 于 金融 数据 密码 机 的 检 


是 "4 项。 信息 安全 工程 师 教程 (第 2 版 ) 


测 ， 以 及 该 类 密码 设备 的 研制 。 
5. 工业 控制 系统 信息 安全 防护 能 力 评估 


工业 控制 系统 信息 安全 事 关 经 济 发 展 、 社 会 稳定 和 国家 安全 。 为 提升 工业 企业 工业 控制 系 
统 信息 安全 〈 以 下 简称 工控 安全 ) 防护 水 平 ， 保 障 工业 控制 系统 安全 ， 国 家 工业 和 信息 化 部 制 
定 了 相关 工控 安全 标准 规范 。 

1) 工业 控制 系统 信息 安全 防护 指南 〈 工 信 部 信 软 (2016) 338 号 ) 

本 指南 对 工业 控制 系统 应 用 企业 从 安全 软件 选择 与 管理 ,配置 和 补丁 管理 、 边界 安全 防护 、 
物理 和 环境 安全 防护 、 身 份 认证 、 远 程 访问 安全 、 安 全 监测 和 应 急 预 案 演练 、 资 产 安全 、 数 据 
安全 、 供 应 链 管理 、 落 实 责任 等 十 一 个 方面 提出 了 工控 安全 防护 要 求 。 

2) 工业 控制 系统 信息 安全 防护 能 力 评估 工作 管理 办 法 〈 工 信 部 信 软 (2017) 188 号 ) 

本 办 法 结合 工控 安全 防护 能 力 评估 工作 的 实际 ， 以 规范 针对 工业 企业 开展 的 工控 安全 防护 
能 力 评 估 活 动 为 重点 ， 加 强 工 控 安 全 防护 能 力 评估 机 构 、 人 员 和 工具 管理 ， 明 确 工 控 安 全 防护 
能 力 评 估 工 作 程序 。 本 办 法 所 指 的 防护 能 力 评估 ， 是 对 工业 企业 工业 控制 系统 规划 、 设 计 、 建 
设 、 运 行 、 维 护 等 全 生命 周期 各 阶段 开展 安全 防护 能 力 综合 评价 。 


18.6 ”本 章 小 结 


本 章 内 容 包括 : 第 一 ， 给 出 了 网 络 安全 测评 的 概念 和 测评 内 容 ， 分 析 了 网 络 安全 测评 的 发 
展 状况 ;第 二 ， 本 章 系统 地 阐述 了 网 络 安全 测评 的 类 型 和 常见 的 网 络 安全 测评 流程 ;第 三 ， 分 
析 了 网 络 安全 测评 技术 ， 并 列举 了 常用 的 网 络 安全 测评 工具 ;第 四 ， 本 章 叙述 了 网 络 安全 测评 
质量 管理 工作 的 内 容 , 给 出 了 信息 系统 安全 等 级 保护 测评 标准 、 产 品 测评 标准 、 风 险 评估 标准 、 
密码 应 用 安全 、 工 业 控制 系统 信息 安全 防护 能 力 评估 等 测评 标准 。 
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19.1 操作 系统 安全 概述 


操作 系统 负责 计算 系统 的 资源 管理 ， 支 撑 和 控制 各 种 应 用 程序 运行 ， 为 用 户 提供 计算 机 系 
统管 理 接口 。 操 作 系统 是 构成 网 络 信息 系统 的 核心 关键 组 件 ， 其 安全 可 靠 程 度 决定 了 计算 机 系 
统 的 安全 性 和 可 靠 性 。 本 节 主 要 阐述 操作 系统 安全 的 概念 ， 分 析 操 作 系统 的 安全 需求 和 安全 机 
制 ， 并 给 出 操作 系统 常见 的 安全 技术 。 


19.1.1 ”操作 系统 安全 概念 


一 般 来 说 ， 操 作 系统 的 安全 是 指 满足 安全 策略 要 求 ， 具 有 相应 的 安全 机 制 及 安全 功能 ， 符 
合 特定 的 安全 标准 ， 在 一 定 约束 条 件 下 ， 能 够 抵御 常见 的 网 络 安全 威胁 ， 保 障 自身 的 安全 运行 
及 资源 安全 。 国 家 标准 《信息 安全 技术 操作 系统 安全 技术 要 求 《GB/T 20272 一 2019) 》 根 据 
安全 功能 和 安全 保障 要 求 ， 将 操作 系统 分 成 五 个 安全 等 级 ， 即 用 户 自主 保护 级 、 系 统 审计 保护 
级 、 安 全 标记 保护 级 、 结 构 化 保护 级 、 访 问 验 证 保护 级 。 

目前 ， 操 作 系统 成 为 信息 社会 的 核心 关键 组 件 ， 其 安全 性 和 可 控 性 直接 影响 国家 安全 、 组 
织 安全 、 个 人 安全 。2008 年 ，Windows 黑屏 事件 让 中 国 用 户 切实 感受 到 操作 系统 安全 的 重要 
性 。2010 年 ，“ 震 网 ”恶意 代码 令 伊朗 的 核电 设施 瘫痪 ， 其 关键 因素 是 微软 公司 的 Windows 
系统 存在 未 公开 的 安全 漏洞 ， 从 而 使 得 高 级 持续 威胁 攻击 方法 (APT) 得 以 实施 。 操 作 系 统 的 
安全 可 控 是 指 用 户 可 以 按照 预期 的 安全 要 求 ， 实 现 对 操作 系统 的 操作 和 控制 ， 以 满足 用 户 的 业 
务 需求 。 狭 义 上 说 ， 操 作 系 统 的 安全 可 控 侧重 于 产品 安全 。 从 广义 上 来 说 ， 操 作 系 统 的 安全 可 
控 侧重 于 产业 可 控 。 以 Google 公司 的 安 卓 操作 系统 为 例 , 与 安 卓 操 作 系统 相关 的 产业 价值 达到 
数 千 亿 美元 , 然而 该 产业 为 Google 公司 所 掌控 。 安 全 可 控 上 升 到 国家 安全 层面 ,同时 也 成 为 公 
司 商业 竞争 的 工具 。 

操作 系统 的 安全 可 控 目 标 分 为 两 个 层面 : 第 一 个 层面 ， 是 指 给 定 一 个 操作 系统 ， 用 户 能 够 
实现 对 操作 系统 的 可 理解 、 可 修改 、 可 检测 、 可 修复 、 可 保护 ， 第 二 个 层面 ， 商 业 用 户 能 够 自 
己 主导 操作 系统 的 产品 化 ， 不 受 恶 意 的 商业 利益 绑架 或 遭受 知识 产权 专利 陷阱 ， 操 作 系 统 不 能 
被 利用 危及 国家 安全 。 


19.1.2 ”操作 系统 安全 需求 


操作 系统 已 经 成 为 网 络 安全 威胁 的 首要 目标 ， 其 安全 性 问题 日 渐 凸显 。 操 作 系统 安全 隐患 
直接 危及 整个 网 络 信息 系统 的 安全 性 。 目 前 ， 操 作 系统 的 安全 目标 是 能 够 防范 网 络 安全 威胁 ， 
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保障 操作 系统 的 安全 运行 及 计算 机 系统 资源 的 安全 性 。 通 常 来 说 ， 操 作 系统 的 安全 需求 主要 包 
括 如 下 几 个 方面 : 

(1) 标识 和 鉴别 。 能 够 唯一 标识 系统 中 的 用 户 ， 并 进行 身份 真实 性 鉴别 。 

(2) 访问 控制 。 按 照 系 统 安 全 策略 ， 对 用 户 的 操作 进行 资源 访问 控制 ， 防 止 用 户 对 计算 机 
资源 的 非法 访问 (窃取 、 算 改 和 破坏 》。 

(3) 系统 资源 安全 。 能 够 保护 系统 中 信息 及 数据 的 完整 性 、 保 密 性 、 可 用 性 。 

(4) 网 络 安全 。 能 够 进行 网 络 访问 控制 ， 保 证 网 络 通信 数据 安全 及 网 络 服务 的 可 用 性 。 

(5) 抗 攻 击 。 具 有 系统 运行 监督 机 制 ， 防 御 恶 意 代码 攻击 。 

(6) 自身 安全 。 操 作 系统 具有 自身 安全 保护 机 制 ， 确 保 系 统 安全 和 完整 性 ， 具 有 可 信 恢 复 
能 力 。 


19.1.3 ”操作 系统 安全 机 制 

操作 系统 的 安全 保障 集成 多 种 安全 机 制 ， 主 要 包括 硬件 安全 、 标 识 与 鉴别 、 访 问 控制 、 最 
小 特权 管理 、 安 全 审计 、 可 信 路 径 、 系 统 安全 增强 等 。 下 面 分 别 进行 讲述 。 

1. 硬件 安全 

计算 机 硬件 安全 是 操作 系统 安全 的 基础 保障 机 制 ， 包 括 硬件 安全 可 靠 性 、 存 储 保护 、IO 
保护 、CPU 安全 、 物 理 环境 保护 等 。 

2. 标识 与 鉴别 

标识 与 鉴别 又 称 为 认证 机 制 ， 用 于 操作 系统 的 用 户 及 相关 活动 主体 的 身份 标识 ， 并 给 用 户 


和 相应 的 活动 主体 分 配 唯一 的 标识 符 。 标 识 符 具有 唯一 性 ， 能 够 防止 伪造 。 而 鉴别 则 指证 实用 
户 或 活动 主体 的 真实 身份 的 过 程 。 


3. 访问 控制 


访问 控制 用 于 操作 系统 的 资源 管理 控制 ， 防 止 资源 小 用。 常见 的 访问 控制 有 自主 访问 控制 
和 强制 访问 控制 。 


4. 最 小 特权 管理 


操作 系统 特权 通常 是 指 系统 中 某 些 用 户 或 进程 具有 超级 权限 的 操作 能 力 。 如 UNIX/Linux 
等 多 用 户 操作 系统 的 用 户 root 具有 所 有 特权 ， 普 通用 户 不 具有 任何 特权 。 特 权 管理 方式 虽然 便 
于 系统 维护 和 配置 ， 但 不 利于 系统 的 安全 性 。 一 旦 特权 用 户 的 口令 丢失 或 被 冒充 ， 将 会 对 系统 
造成 极 大 的 损失 。 另 外 ， 超 级 用 户 的 误 操作 也 是 系统 极 大 的 安全 隐患 。 因 此 ， 必 须 建立 并 实行 
最 小 特权 管理 机 制 。 最 小 特权 管理 就 是 操作 系统 不 分 配 用 户 超过 执行 任务 所 需 的 权限 ， 防 止 权 
限 滥 用 ， 减 少 系统 的 安全 风险 。 
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$5. 可 信 路 径 


可 信 路 径 是 指 操作 系统 的 本 地 用 户 和 远程 用 户 进行 初始 登录 或 鉴别 时 ， 操 作 系统 安全 系统 
与 用 户 之 间 建 立 的 安全 通信 路 径 。 可 信 路 径 保 护 通信 数据 免 遭 修改 、 泄 露 ， 防 止 特洛伊 木马 模 
仿 登录 过 程 ， 窃 取 用 户 的 口令 。 


6. 安全 审计 


安全 审计 就 是 操作 系统 对 系统 中 有 关 安全 的 活动 进行 记录 、 检 查 及 审核 ， 其 主要 目的 就 是 
核实 系统 安全 策略 执行 的 合 规 性 , 以 追踪 违反 安全 策略 的 用 户 及 活动 主体 , 确认 系统 安全 故障 。 


7. 系统 安全 增强 


系统 安全 增强 又 称 为 安全 加 固 ， 通 过 优化 操作 系统 的 配置 或 增加 安全 组 件 ， 以 提升 操作 系 
统 的 抗 攻 击 能 力 。 


19.1.4 ”操作 系统 安全 技术 


操作 系统 是 复杂 的 系统 软件 ， 其 安全 机 制 的 实现 综合 集成 了 多 种 安全 技术 ， 主 要 包括 硬件 
容 灾 备 份 技术 、 可 信 计 算 技 术 、 身 份 认证 技术 、 访 问 控制 技术 、 加 密 技 术 、 安 全 审计 和 监测 技 
术 、 系 统 安 全 增强 技术 、 特 权 管 理 技术 、 形 式 化 分 析 技 术 、 安 全 渗透 技术 、 隐 蔽 信道 分 析 、 安 
全 补丁 、 防 火 墙 、 入 侵 检测 、 安 全 沙 箱 、 攻 击 欺骗 、 地 址 空间 随机 化 和 系统 恢复 等 技术 ， 这 些 
技术 不 同 程度 地 应 用 在 操作 系统 的 安全 机 制 构 建 、 安 全 功能 实现 、 安 全 保障 、 安 全 测评 以 及 安 
全 运行 等 各 个 方面 。 


19.2 ”Windows 操作 系统 安全 分 析 与 防护 


Windows 操作 系统 是 应 用 普遍 的 操作 系统 ， 其 安全 性 影响 广泛 。 本 节 主 要 闸 述 Windows 
操作 系统 的 架构 ， 分 析 了 其 安全 机 制 及 常见 的 安全 问题 ， 并 给 出 Windows 操作 系统 安全 增强 技 
术 方 法 和 参考 实例 。 


19.2.1 Windows 系统 架构 


Windows 系统 是 微软 公司 研究 开发 的 操作 系统 ,其 发 展 经 历 了 Windows 3.1、Windows 98、 
Windows NT、Windows 2000、Windows XP、Windows 7、Windows 10 等 多 个 版 本 , 由 于 Windows 
系统 的 易 用 性 ， 其 受到 众多 用 户 的 青睐 ,特别 是 其 桌面 操作 系统 。 下 面 以 Windows XP 为 例 ， 
分 析 其 架构 。Windows XP 的 结构 是 层次 结构 和 客户 机 /服务 器 结构 的 混合 体 ， 其 系统 结构 如 
图 19-1 所 示 。 从 图 中 可 以 看 出 ， 系 统 划 分 为 三 层 。 其 中 ， 最 底层 是 硬件 抽象 层 ， 它 为 上 面 的 
一 层 提 供 硬件 结构 的 接口 ， 有 了 这 一 层 就 可 以 使 系统 方便 地 移植 ; 第 二 层 是 内 核 层 ， 它 为 低 
层 提 供 执行 、 中 断 、 异 常 处 理 和 同步 的 支持 ; 第 三 层 是 由 一 系列 实现 基本 系统 服务 的 模块 组 
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成 的 ， 例 如 虚拟 内 存 管理 、 对 象 管理 、 进 程 和 线程 管理 、IO 管理 、 进 程 间 通信 和 安全 参考 监 


督 器 。 
系统 虚拟 机 MS-DOS 虚 拟 机 
shell 
explorer Ta a 
程序 管理 器 ee 
应 用 应 用 虚拟 机 


Windows 应 用 接口 层 


ES 


KERNEL32.DLL GDI32.DLL USER32.DLL 


3 环 服务 用 户 模式 
0 环 服务 内 核 模式 
系统 服务 分 配器 
内 核 模式 可 调用 接 山 


即 插 即 安全 引 | 虚拟 内 本 地 
对 象 有 进程 | 配置 管 
用 管 | 用 监 | 存 管 过 程 
四 
内 核 


硬件 接口 (MO 设备 、 中 断 、DMA、 间 隔 计时 器 等 ) 


图 19-1 Windows XP 系统 结构 示意 图 


Windows 2000 系统 在 安全 设计 上 有 专门 的 安全 子 系统 ， 安 全 子 系统 主要 由 本 地 安全 授 
权 (LSA) 、 安 全 账户 管理 (SAM) 和 安全 参考 监视 器 (SRM) 等 组 成 ， 如 图 19-2 所 示 。 
其 中 ， 本 地 安全 授权 部 分 提供 了 许多 服务 程序 ， 保 障 用 户 获 得 存 取 系统 的 许可 权 。 它 产生 
令 牌 、 执 行 本 地 安全 管理 、 提 供 交 互 式 登录 认证 服务 、 控 制 安全 审查 策略 和 由 SRM 产生 的 
审查 记录 信息 。 
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Dy 
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图 19-2 Windows 2000 安全 子 系统 示意 图 


安全 账户 管理 部 分 对 SAM 数据 库 进 行 维 护 ， 该 数据 库 包含 所 有 组 和 用 户 的 信息 。SAM 提 
供用 户 登录 认证 ， 负 责 对 用 户 在 Welcome 对 话 框 中 输入 的 信息 与 SAM 数据 库 中 的 信息 比 对 ， 
并 为 用 户 赋予 一 个 安全 标识 符 〈SID) 。 根 据 网 络 配置 的 不 同 ，SAM 数据 库 可 能 存在 于 一 个 或 
多 个 Windows NT 系统 中 。 

安全 参考 监视 器 负责 访问 控制 和 审查 策略 ， 由 LSA 支持 。SRM 提供 客体 (文件 、 目 录 等 ) 
的 存 取 权限 ， 检 查 主体 (用 户 账 户 等 ) 的 权限 ， 产 生 必要 的 审查 信息 。 客 体 的 安全 属性 由 访问 
控制 项 (ACE) 来 描述 ， 全 部 客体 的 ACE 组 成 访问 控制 列表 (ACL) 。 没 有 ACL 的 客体 意味 
着 任何 主体 都 可 访问 。 而 有 ACL 的 客体 则 由 SRM 检查 其 中 的 每 一 项 ACE， 从 而 决定 主体 的 访 
问 是 否 被 允许 。 


19.2.2” ”Windows 安全 机 制 


1. Windows 认证 机 制 


早期 Windows 系统 的 认证 机 制 不 是 很 完善 ， 甚 至 缺乏 认证 机 制 。 例 如 Windows 32、 
Windows 98。 随 着 系统 发 展 , 微软 公司 逐步 增强 了 Windows 系统 的 认证 机 制 。 以 Windows 2000 
为 例 ， 系 统 提供 两 种 基本 认证 类 型 ， 即 本 地 认证 和 网 络 认证 。 其 中 ， 本 地 认证 是 根据 用 户 的 本 
地 计算 机 或 Active Directory 账户 确认 用 户 的 身份 。 而 网 络 认证 ， 则 根据 此 用 户 试图 访问 的 任 
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何 网 络 服务 确认 用 户 的 身份 。 为 提供 这 种 类 型 的 身份 验证 ，Windows 2000 安全 系统 集成 三 种 不 
同 的 身份 验证 技术 : KerberosV5、 公 和 钥 证 书 和 NTLM。 
2. Windows 访问 控制 机 制 


Windows NT/XP 的 安全 性 达到 了 橘 皮 书 C2 级 ， 实 现 了 用 户 级 自主 访问 控制 。 访 问 控制 机 
制 如 图 19-3 所 示 。 


每 个 ACE 都 会 检查 
直到 成 功 匹配 
做 出 访问 决策 


系统 执行 访问 检查 


图 19-3 Windows 访问 控制 机 制 示意 图 


为 了 实现 进程 间 的 安全 访问 ，Windows NT/XP 中 的 对 象 采用 了 安全 性 描述 符 (Security 
Descriptor) 。 安 全 性 描述 符 主要 由 用 户 SID (Owner) 、 工 作 组 SID (Group) 、 自 由 访问 控制 
列表 (DACL) 和 系统 访问 控制 列表 (SACL) 组 成 。 


3. Windows 审计 /日 志 机 制 


日 志文 件 是 Windows 系统 中 一 个 比较 特殊 的 文件 ， 它 记录 Windows 系统 的 运行 状况 ， 如 
各 种 系统 服务 的 启动 、 运 行 、 关 闭 等 信息 。Windows 日 志 有 三 种 类 型 : 系统 日 志 、 应 用 程序 日 
志和 安全 日 志 ， 它 们 对 应 的 文件 名 为 SysEvent.evt、AppEvent.evt 和 SecEvent.evt。 这 些 日 志文 
件 通常 存放 在 操作 系统 安装 的 区 域 “system32\config” 目 录 下 。 


4. Windows 协议 过 滤 和 防火 墙 


针对 来 自 网 络 上 的 威胁 ，Windows NT 4.0、Windows 2000 则 提供 了 包 过 滤 机 制 ， 通 过 过 滤 
机 制 可 以 限制 网 络 包 进入 用 户 计算 机 。 而 Windows XP 则 自 带 了 防火 墙 ， 该 防火 墙 能 够 监控 和 
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限制 用 户 计算 机 的 网 络 通信 。 
5. Windows 文件 加 密 系统 


为 了 防范 入 侵 者 通过 物理 途径 读 取 磁盘 信息 ， 绕 过 Windows 系统 文件 访问 控制 机 制 。 微 软 公 
司 研究 开发 了 加 密 的 文件 系统 EFS， 文 件 中 的 数据 利用 EFS 在 磁盘 上 加 密 。 用 户 如 果 访 问 加 密 的 
文件 ， 则 必须 拥有 这 个 文件 的 密 钥 ， 才 能 够 打开 这 个 文件 ， 并 且 像 普通 文档 一 样 透明 地 使 用 它 。 


6. 抗 攻 击 机 制 


针对 常见 的 缓冲 区 溢出 、 恶 意 代码 等 攻击 , 微软 公司 的 新 版 本 操作 系统 Windows 7、Windows 
10 增加 抗 攻 击 安全 机 制 ， 集 成 了 内 存 保护 机 制 ， 主 要 包括 堆栈 保护 〈Stack Protection) 、 安 全 结 
构 例外 处 理 SafeSEH (Safe Structured Exception Handling) 、 数 据 执行 保护 DEP (Data Execution 
Prevention) 、 地 址 随机 化 ASLR (Address Space Layout Randomization) 、 补 丁 保护 PatchGuard、 
驱动 程序 签名 (Driver Signing) 等 保护 机 制 。Windows 10 提供 减少 攻击 面 规则 配置 ， 具 体 如 下 : 

(1) 阻止 来 自 电 子 邮 件 客户 端 和 Webmail 的 可 执行 内 容 。 

该 规则 阻止 Microsoft Outlook 应 用 程序 或 其 他 Webmail 程序 打开 电子 邮件 中 的 可 执行 文 
件 、 脚 本 文件 , 其 中 , 执行 文件 类 型 有 .exe, .dll 或 .scr, 脚本 文件 有 PowerShell.ps、VisualBasic.vbs 
或 JavaScriptjs 文件 。 

(2) 阻止 所 有 Office 应 用 程序 创建 子 进程 。 

恶意 软件 通常 借用 Office 应 用 运行 VBA 宏 或 执行 攻击 代码 。 该 规则 阻止 Word、Excel、 
PowerPoint、OneNote、Access 等 Office 应 用 创建 子 进程 。 

(3) 阻止 Office 应 用 程序 创建 可 执行 内 容 。 

恶意 软件 常常 滥用 Office 作为 攻击 媒介 ， 突 破 Office 应 用 控制 而 将 恶意 组 件 保存 到 磁盘 ， 
使 得 恶意 组 件 在 计算 机 重新 启动 后 存活 下 来 ， 从 而 留 在 系统 中 。 该 规则 用 于 防护 持久 性 威胁 ， 
通过 阻止 Word、Excel、PowerPoint 等 Office 应 用 程序 创建 潜在 的 恶意 可 执行 内 容 ， 防 止 恶意 
代码 写 入 磁盘 。 

(4) 阻止 Office 应 用 程序 将 代码 注入 其 他 进程 。 

攻击 者 有 可 能 使 用 Office 应 用 程序 把 恶意 代码 注入 其 他 进程 , 将 恶意 代码 伪装 成 干净 的 进 
程 。 该 规则 阻止 将 代码 从 Word、Excel、PowerPoint 等 Office 应 用 程序 注入 其 他 进程 。 

(5) 阻止 JavaScript 或 VBScript 启动 下 载 的 可 执行 内 容 。 

用 JavaScript 或 VBScript 编写 的 恶意 软件 通常 从 网 上 获取 下 载 并 启动 其 他 恶意 软件 。 该 规 
则 可 防止 脚本 启动 潜在 的 恶意 下 载 内 容 。 

(6) 阻止 执行 可 能 被 混淆 的 脚本 。 

脚本 混淆 是 恶意 软件 作者 和 合法 应 用 程序 用 来 隐藏 知识 产权 或 减少 脚本 加 载 时 间 的 常用 
技术 。 恶意 软件 作者 使 用 混淆 处 理 让 恶意 代码 难以 阅读 ， 从 而 防止 人 、 安 全 软件 的 严格 审查 。 
该 规则 可 检测 混淆 脚本 中 的 可 疑 属性 。 


国 4o> 基 。 信息 安全 工程 师 教程 第 2 版 ) 


(7) 阻止 Office 宏 调 用 Win32 API。 

Office VBA 提供 了 调用 Win32 API 功能 ， 但 恶意 软件 会 滥用 此 功能 来 启动 恶意 shellcode， 
而 不 直接 将 任何 内 容 写 入 磁盘 。 该 规则 可 用 于 防止 使 用 VBA 调用 Win32 API 功能 。 

(8) 阻止 信任 列表 外 的 可 执行 文件 运行 。 

启动 执行 不 受信 任 或 未 知 的 可 执行 文件 可 能 会 导致 潜在 风险 。 该 规则 将 阻止 .exe、.dll 或 .scr 
等 可 执行 文件 类 型 启动 ， 但 在 信任 列表 中 的 执行 文件 除外 。 

(9) 防御 勒索 软件 。 

该 规则 要 求 扫 描 检 查 进 入 系统 的 可 执行 文件 可 信 性 。 如 果 文 件 与 勒索 软件 极为 相似 ， 则 该 
规则 将 阻止 它们 运行 ， 但 在 信任 列表 中 的 执行 文件 除外 。 

(10) 阻止 从 Windows 本 地 安全 授权 子 系统 窃取 身份 任 据 。 

该 规则 通过 锁定 本 地 安全 授权 子 系统 服务 (LSASS) ， 以 防止 身份 凭据 被 窃取 。 

(11) 阻止 PsExec 和 WMI 命令 创建 进程 。 

该 规则 阻止 运行 通过 PsExec 和 WMI 创建 的 进程 。 PsExec 和 WMI 都 可 以 远程 执行 代码 ， 
因此 存在 恶意 软件 滥用 此 功能 用 于 命令 和 控制 目的 ， 或 将 感染 传播 到 整个 组 织 网 络 的 风险 。 

(12) 阻止 从 USB 运行 不 受信 任 、 未 签名 的 进程 。 

管理 员 使 用 此 规则 , 可 以 阻止 从 USB (包括 SD 卡 ) 运行 未 签名 或 不 受信 任 的 可 执行 文件 、 
脚本 文件 ， 这 些 文件 类 型 包括 .exe、.dll、.scr、PowerShell.ps，VisualBasic.vbs 或 JavaScript.js。 

(13) 阻止 Office 创建 子 进程 通信 应 用 程序 。 

该 规则 阻止 Outlook 创建 子 进程 ， 但 允许 其 正常 的 通信 ， 可 以 抵御 社会 工程 学 攻击 ， 防 止 
利用 Outlook 漏洞 攻击 。 

(14) 阻止 Adobe Reader 创建 子 进程 。 

该 规则 通过 阻止 Adobe Reader 创建 其 他 进程 来 防止 攻击 。 恶 意 软件 常 通过 社会 工程 或 漏洞 
利用 ， 下 载 并 启动 其 他 有 效 负载 ， 并 突破 Adobe Reader 控制 。 通 过 阻止 由 Adobe Reader 创建 
子 进程 ， 可 以 防止 恶意 软件 将 其 用 作 攻 击 向 量 进行 传播 扩散 。 

(15) 阻止 利用 WMI 事件 订阅 进行 持久 性 攻击 。 

该 规则 可 防止 恶意 软件 滥用 WMI 以 持久 性 控制 设备 。 无 文件 威胁 使 用 各 种 策略 来 保持 隐 
藏 状态 ， 以 避免 在 文件 系统 中 被 查看 到 ， 进 而 实现 定期 执行 控制 。 某 些 威胁 可 能 会 滥用 WMI 
存储 库 和 事件 模型 以 使 其 保持 隐藏 状态 。 


19.2.3 ”Windows 系统 安全 分 析 
目前 ，Windows 系统 承受 着 各 种 各 样 的 攻击 ， 下 面 分 析 Windows 系统 的 安全 问题 。 


1. Windows 口令 


账号 和 口令 是 进入 Windows 系统 的 重要 凭证 ,获取 账号 和 口令 信息 是 入 侵 者 攻击 Windows 
系统 的 重要 途径 。 例如 ,Windows 2000 的 默认 安装 允许 任何 用 户 通过 空 用 户 得 到 系统 所 有 账号 
和 共享 列表 。 这 些 功 能 本 来 是 为 了 方便 局 域 网 用 户 共享 资源 和 文件 ， 但 导致 了 任何 一 个 远程 用 
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户 都 可 以 利用 同样 的 方法 得 到 账户 列表 , 使 用 技术 破解 账户 密码 后 , 对 用 户 的 计算 机 进行 攻击 。 
2. Windows 恶意 代码 
由 于 Windows 系统 自身 的 安全 隐患 ， 许 多 计算 机 病毒 、 网 络 蠕虫 、 特 洛 伊 木马 等 安全 事件 
都 与 Windows 系统 相关 ， 例 如 “冲击 波 ”网 络 蠕虫 、 “永恒 之 蓝 ” 勒 索 网 络 蠕虫 。 
3. Windows 应 用 软件 漏洞 
运行 在 Windows 平台 的 应 用 软件 的 安全 隐患 日 益 暴露 ， 这 些 安全 隐患 常常 导致 Windows 


系统 被 非 授 权 访问 、 非 法 滥用 等 。 例如 正 浏览 器 的 安全 漏洞 导致 远程 攻击 者 植 入 木马 ,进而 危 
及 整个 系统 的 安全 。 


4. Windows 系统 程序 的 漏洞 

Windows 系统 程序 的 设计 、 实 现 过 程 中 的 安全 隐患 通常 带 来 不 少 安全 问题 ， 例 如 RPC 程 
序 的 漏洞 导致 缓冲 区 溢出 攻击 。 

5. Windows 注册 表 安全 


注册 表 〈Registy) 是 有 关 Windows 系统 配置 的 重要 文件 ， 存 储 在 系统 安装 目录 
“system32\config” 下 。 由 于 所 有 配置 和 控制 系统 的 数据 都 存在 于 注册 表 中 ， 而 且 Registry 的 缺 
省 权限 设置 是 “所 有 人 ”Everyone) “完全 控制 ” (FullControl) 和 “创建 ” (Create) ， 这 
种 设置 可 能 会 被 恶意 用 户 利用 来 删除 或 者 替换 掉 注册 表 (Registry) 文件 。 例 如 ， 入 侵 者 通过 修 
改 、 创 建 注册 表 的 相关 参数 设置 ， 让 系统 启动 恶意 进程 。 

6. Windows 文件 共享 安全 

Windows 98 以 后 的 系统 都 提供 文件 共享 安全 ， 但 是 共享 会 带 来 信息 泄露 的 问题 。 例 如 ， 
Windows 2000、Windows XP 在 默认 安装 后 允许 任何 用 户 通过 空 用 户 连接 (IPC$) 得 到 系统 所 
有 账号 和 共享 列表 ， 这 本 来 是 为 了 方便 局 域 网 用 户 共享 资源 和 文件 的 ， 但 是 任何 一 个 远程 用 户 
都 可 以 利用 这 个 空 的 连接 得 到 所 有 用 户 的 共享 列表 。 黑客 利 用 这 项 功能 , 查找 系统 的 用 户 列表 ， 
使 用 字典 工具 ， 对 系统 进行 攻击 。 这 就 是 网 上 较 流行 的 了 PC 攻击 。 


7. Windows 物理 临近 攻击 


一 些 攻击 者 利用 物理 接近 Windows 系统 的 条 件 ， 借 用 安全 工具 强行 进入 Windows 系统 。 
例如 ,使 用 Offline NT Password & Registry Editor 软件 制作 启动 盘 , 然后 用 该 盘 引 导 系 统 ， 进 而 
可 以 访问 NTFS 文件 系统 。 


19.2.4 ”Windows 系统 安全 增强 技术 方法 与 流程 
Windows 系统 的 安全 增强 是 指 通过 一 些 安全 措施 来 提高 系统 的 安全 防护 能 力 。 目 前 ， 常 见 
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的 系统 安全 增强 方法 有 下 面 几 种 : 

(1) 安全 漏洞 打 补丁 (Patch) 。 很 多 漏洞 本 质 上 是 软件 设计 时 的 缺陷 和 错误 〈 如 漏洞 ) ， 
因此 需要 采用 补丁 的 方式 对 这 些 问 题 进行 修复 。 

(2) 停止 服务 和 种 载 软件 。 有 些 应 用 和 服务 安全 问题 较 多 ， 目 前 又 没有 可 行 的 解决 方案 ， 
切实 有 效 的 方法 是 在 可 能 的 情况 下 停止 该 服务 ， 不 给 攻击 者 提供 攻击 机 会 。 

(3) 升级 或 更 换 程序 。 在 很 多 情况 下 ， 安 全 漏洞 只 针对 一 个 产品 的 某 一 版 本 有 效 ， 此 时 解 
决 问题 的 办 法 就 是 升级 软件 。 如 果 升 级 仍 不 能 解决 ， 则 要 考虑 更 换 程序 。 目 前 ， 同 一 应 用 或 服 
务 通常 存在 多 个 成 熟 的 程序 ， 而 且 还 存在 免费 的 自由 软件 ， 这 为 更 换 软件 提供 了 可 能 性 。 

(4) 修改 配置 或 权限 。 有 时 系统 本 身 并 没有 安全 漏洞 ， 但 由 于 配置 或 权限 设置 错误 或 不 合 
理 ， 给 系统 安全 性 带 来 问题 。 建 议 用 户 根据 实际 情况 和 审计 结果 ， 对 这 类 配置 或 权限 设置 问题 
进行 修改 。 

(5) 去 除 特洛伊 等 恶意 程序 。 系 统 如 果 出 现 过 安全 事故 (已 知 的 或 并 未 被 发 现 的 ) ， 则 在 
系统 中 可 能 存在 隐患 ， 例 如 攻击 者 留 下 后 门 程序 等 ， 因 此 必须 去 除 这 些 程序 。 

(6) 安装 专用 的 安全 工具 软件 。 针 对 Windows 漏洞 修补 问题 , 用 户 可 以 安装 自动 补丁 管理 程序 。 

Windows 系统 安全 增强 是 一 件 烦 琐 的 事情 ， 其 基本 步骤 如 下 。 


1. 确认 系统 安全 增强 的 安全 目标 和 系统 的 业务 用 途 


系统 安全 目标 实际 上 就 是 用 户 所 期 望 系统 的 安全 要 求 ， 例 如 防止 信息 泄露 、 抗 拒绝 服务 攻 
击 、 限 制 非法 访问 等 。 系 统 的 业务 用 途 是 后 续 安全 增强 的 依据 ， 根 据 系 统 的 业务 用 途 ， 系 统 在 
安装 时 或 设置 策略 时 进行 合适 的 选择 。 


2. 安装 最 小 化 的 操作 系统 


最 小 化 操作 系统 的 目的 是 减少 系统 安全 隐患 数目 ， 系 统 越 大 ， 可 能 的 安全 风险 就 越 大 ， 而 
且 管 理 上 也 难以 顾及 。 安 装 最 小 化 的 操作 系统 要 求 如 下 : 

。 ”尽量 使 用 英文 版 Windows 操作 系统 ; 

。 不 要 安装 不 需要 的 网 络 协议 ; 

。 使 用 NTFS 分 区 ; 

。 ”删除 不 必要 的 服务 和 组 件 。 

3. 安装 最 新 系统 补丁 

系统 的 漏洞 通常 成 为 入 侵 者 进入 的 途径 ， 因 而 漏洞 的 修补 是 系统 安全 增强 的 必要 步骤 。 


4. 配置 安装 的 系统 服务 


。 ”不 要 安装 与 系统 业务 运行 无 关 的 网 络 /系统 服务 和 应 用 程序 ; 
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。 ”安装 最 新 的 应 用 程序 和 服务 软件 ， 并 定期 更 新 服务 的 安全 补丁 。 
5. 配置 安全 策略 


安全 策略 是 有 关系 统 的 安全 设置 规则 ， 在 Windows 系统 中 需要 配置 的 安全 策略 主要 有 账 
户 策略 、 审 计策 略 、 远 程 访问 、 文 件 共享 等 。 其 中 ， 策 略 中 又 要 涉及 多 个 参数 ， 以 配置 账户 策 
略为 例 ， 策 略 包含 下 列 项 目 : 

。 ”密码 复杂 度 要 求 ; 

。 账户 锁定 阔 值 ; 

。 ”账户 锁定 时 间 ; 

。 ”账户 锁定 记 数 器 。 


6. 禁用 NetBIOS 


NetBIOS 提供 名 称 服务 和 会 话 服务 ， 这 些 服务 通常 会 给 攻击 者 提供 入 侵 切 入 点 。 为 了 系统 
的 安全 ， 一 般 建 议 禁 用 NetBIOS， 其 方法 如 下 : 

。 在 防火 墙 上 过 滤 外 部 网 络 访问 135 一 139、445 端口 。 

。 ”修改 注册 表 ， 禁 用 NetBIOS， 上 有 具体 如 下 。 


HKLMNSYSTEMNCurrentControlSet\Control\Lsa:Iestrictanonymouse=2 


。 禁用 NetBIOS over TCP/IP。 
。 ”禁用 Microsoft 网 络 的 文件 和 打印 共享 。 


7. 账户 安全 配置 


账户 权限 设置 不 当 往 往 会 导致 安全 问题 , 在 Windows 系统 中 , 设置 账户 权限 应 做 到 以 下 几 点 : 
。 ”禁用 默认 账号 ; 

。 ”定期 检查 账户 ， 尽 早 发 现 可 疑 账户 ; 

。 锁定 Guest 账户 。 


8. 文件 系统 安全 配置 


文件 系统 安全 是 Windows 系统 重要 的 保护 对 象 , 特别 是 向 外 提供 网 络 服务 的 主机 系统 。 文 
件 系统 安全 的 措施 通常 如 下 : 

。 ”删除 不 必要 的 帮助 文件 和 “%System%\Driver cache ”目录 下 的 文件 ; 

。 ”删除 不 必要 的 应 用 程序 ， 例 如 cmd.exe; 

。 启用 加 密 文件 系统 ; 

。 设置 文件 共享 口令 ; 

。 ”修改 系统 默认 安装 目录 名 。 
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9. 配置 TCP/IP 筛选 和 ICF 


在 Windows 系统 的 后 续 版 本 中 , 例如 Windows 2000、Windows XP 系统 中 带 有 配置 TCP/IP 
筛选 机 制 ， 并 且 Windows XP 有 防火 墙 ICF。 利 用 这 些 安全 机 制 ， 可 以 减少 来 自 网 上 的 安全 威 


胁 ， 安 全 配置 


一 般 从 以 下 几 个 方面 考虑 : 


。 过 滤 不 需要 使 用 的 端口 ; 
。 ”过 滤 不 需要 的 应 用 层 网 络 服务 ; 


。 过 滤 


ICMP 数据 包 。 


10. 禁用 光盘 或 软盘 启动 

禁用 光盘 或 软盘 启动 可 以 防止 入 侵 者 进行 物理 临近 攻击 ， 阻 止 入 侵 者 进入 系统 。 

11. 使 用 屏幕 保护 口令 

使 用 屏幕 保护 口令 防止 工作 主机 被 他 人 滥用 。 

12. 设置 应 用 软件 安全 

应 用 软件 安全 不 仅 会 影响 到 自身 的 安全 ， 也 会 给 系统 带 来 安全 隐患 。 应 用 软件 安全 的 设置 


应 做 到 以 下 几 


个 方面 : 


。 ”及 时 安装 应 用 软件 安全 的 补丁 ， 特 别 是 正 、Outlook、Office 办 公 套 件 等 ; 


。 修改 
。 限制 


应 用 软件 安全 的 默认 设置 ; 
应 用 软件 的 使 用 范围 。 


13. 安装 第 三 方 防护 软件 
针对 Windows 系统 的 特定 安全 问题 ， 安 装 第 三 方 防护 软件 ， 如 杀毒 软件 、 个 人 防火 墙 、 入 


侵 检 测 系统 和 


系统 安全 增强 工具 。 


19.2.5 ”Windows 2000 系统 安全 增强 实例 


1. 系统 启动 安全 增强 


非法 用 户 若 能 以 软盘 及 光盘 启动 计算 机 ， 那 他 就 可 以 随意 在 DOS 状态 下 对 系统 进行 攻击 。 
因此 ， 用 户 必须 关闭 软盘 及 光盘 的 启动 功能 。 设 置 方法 为 : 启动 计算 机 ， 在 系统 自 检 时 进入 系 
统 的 CMOS 设置 功能 ， 然 后 将 系统 的 启动 选项 设置 为 “C only”《〈 即 仅 允 许 从 C 盘 局 动 ) ， 同 
时 为 COMS 设置 必要 的 密码 。 
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2. 账号 与 口令 管理 安全 增强 


在 很 多 时 候 ， 用 户 账号 与 口令 是 攻击 者 入 侵 系 统 的 突破 口 ， 系 统 的 账号 越 多 ， 攻 击 者 得 到 
合法 用 户 的 权限 可 能 性 就 越 大 。 因 此 ， 为 了 增强 Windows 2000 的 安全 ， 应 加 强 用 户 账号 与 口 
令 的 安全 管理 ， 具 体 安 全 增强 措施 如 下 。 

1) 停 掉 guest 账号 

在 计算 机 管理 的 用 户 里 把 guest 账号 停 用 ， 任 何 时 候 都 不 允许 guest 账号 登录 系统 。 另 外 ， 
最 好 给 guest 加 一 个 复杂 的 口令 。 

2) 限制 不 必要 的 用 户 数量 

去 掉 所 有 的 duplicate user 账号 、 测 试 账 号 、 共 享 账 号 、 普 通 部 门 账号 等 。 给 用 户 组 策略 
设置 相应 权限 ， 并 且 经 常 检查 系统 的 账号 ， 删 除 已 经 不 再 使 用 的 账号 。 

3) 把 系统 Administrator 账号 改名 

把 Administrator 账号 换 成 不 易 猜测 到 的 账号 名 , 这 样 可 以 有 效 地 防止 口令 尝试 攻击 。 注 意 ， 
请 不 要 使 用 Admin 之 类 的 名 字 。 

4) 创建 一 个 陷阱 账号 

创建 一 个 名 为 Administrator 的 本 地 账号 ， 把 它 的 权限 设置 成 最 低 ， 并 且 加 上 一 个 超过 10 
位 的 复杂 口令 。 这 样 可 以 增加 攻击 者 的 攻击 强度 ， 并 且 可 以 借 此 发 现 他 们 的 入 侵 企图 。 

5) 设置 安全 复杂 的 口令 

设置 安全 复杂 的 口令 ， 使 得 攻击 者 在 短 时 间 内 无 法 破解 出 来 ， 并 且 定 期 更 换 口令 。 

6) 设置 屏幕 保护 口令 

设置 屏幕 保护 口令 是 防止 内 部 人 员 攻 击 的 一 个 屏障 。 

7) 不 让 系统 显示 上 次 登录 的 用 户 名 

默认 情况 下 ， 终 端 服务 接 入 服务 器 时 ， 登 录 对 话 框 中 会 显示 上 次 登录 的 账号 名 ， 本 地 的 登 
录 对 话 框 也 是 一 样 。 这 使 得 攻击 者 可 以 轻易 得 到 系统 的 一 些 用 户 名 ， 进 而 做 口令 猜测 。 为 增强 
系统 安全 ， 通 过 修改 注册 表 ， 不 让 对 话 框 里 显示 上 次 登录 的 用 户 名 ， 有 具体 修改 操作 是 : 
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName 下 ， 
把 REG SZ 的 键 值 改 成 “1”。 

8) 开启 口令 安全 策略 

开启 口令 安全 策略 见 表 19-1。 


表 19-1 开启 口令 安全 策略 


策 略 设 置 
口令 复杂 性 要 求 启用 
口令 长 度 最 小 值 6 位 
强制 口令 历史 5 次 
强制 口令 历史 42 天 


Ee 
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9) 开启 账号 策略 
开启 账号 策略 见 表 19-2。 


表 19-2 开启 账号 策略 


策 略 设 置 
复位 账号 锁定 计数 器 20 分 钟 
账号 锁定 时 间 20 分 钟 
账号 锁定 阔 值 3 次 


3. 安装 最 新 系统 补丁 


攻击 者 常 利 用 系统 的 漏洞 来 进行 入 侵 。 因此， 必须 密切 关注 微软 或 其 他 网 站 发 布 的 漏洞 和 
补丁 信息 ， 及 时 为 系统 安装 上 最 新 的 补丁 ， 这 样 有 助 于 保护 操作 系统 免 受 新 出 现 的 攻击 方法 和 
新 漏洞 的 危害 。 


4. 网 络 安全 增强 


攻击 Windows 2000 的 主要 途径 来 自 网 络 ， 为 了 防止 网 络 攻击 ，Windows 2000 一 般 从 以 下 
几 个 方面 进行 安全 增强 。 

1) 禁止 建立 空 连接 

默认 情况 下 ， 任 何 用 户 都 可 以 通过 空 连接 连 上 服务 器 ， 进 而 枚 举 出 账号 ， 猜 测 口令 。 禁 止 
建立 空 连接 的 方法 是 修改 注册 表 LSA-RestrictAnonymous 的 键 值 为 1， 具 体操 作为 : 将 
Local Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的 值 改 成 “1” 即 可 ， 
如 图 19-4 所 示 。 

2) 关闭 默认 共享 

Windows 2000 安装 好 以 后 ， 系 统 会 创建 一 些 隐 藏 的 共享 ， 用 户 可 以 在 命令 窗口 下 用 NET 
SHARE 查看 。 要 禁止 这 些 共 享 ， 操 作 的 方法 是 : 打开 管理 工具 一 计算 机 管理 一 共享 文件 夹 一 
共享 ， 在 相应 的 共享 文件 夹 上 右 击 停止 共享 即 可 。 

3) 关闭 不 必要 的 网 络 服务 和 网 络 端口 

网 络 服务 和 端口 的 开放 就 意味 着 增加 系统 的 安全 风险 。 为 此 , 应 尽量 避免 打开 不 需要 
的 网 络 服务 和 网 络 端口 。 可 以 启用 Windows 2000 的 “TCP/IP 筛选 "机制 关 闭 服 务 和 端口 。 
车 开放 Web 服务 器 ， 只 允许 外 部 对 TCP 80 号 端口 的 连接 请 求 ， 即 在 “TCP 端口 ” 栏 设 定 成 80。 
“TCP/IP 筛选 ”的 操作 方法 为 : 在 “本 地 连接 属性 ”对 话 框 中 ， 双 击 “Intemet 协议 CTCP/IP) ” 
后 , 选 定 对 话 框 右 下 侧 的 “高 级 ”按钮 ; 然后 选择 “高 级 TCP/IP 设置 ”一 “选项 ”一 “TCP/IP 
筛选 ”， 弹 出 “TCPJP 筛选 ”对 话 框 ， 在 此 对 话 框 中 将 TCP 端口 号 设置 为 80， 如 图 19-5 
所 示 。 
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S. 安装 第 三 方 防护 软件 


虽然 Windows 自身 己 经 提供 了 安全 功能 ， 例 如 Windows XP SP2 自 带 了 防火 墙 ， 但 仍然 存 
在 着 一 些 局 限 。 使 用 第 三 方 防护 软件 ， 例 如 个 人 PC 防火 墙 、 个 人 PC 入 侵 检测 IDS、 反 间谍 软 
件 、 杀 病毒 软件 以 及 漏洞 扫描 工具 等 ， 都 能 有 效 地 提高 Windows 系统 的 安全 性 。 


19.2.6 Windows 系统 典型 安全 工具 与 参考 规范 
Windows 系统 是 应 用 非常 普遍 的 操作 系统 ， 其 受到 安全 威胁 较为 频繁 。Windows 典型 安全 


。 ”远程 安全 登录 管理 工具 OpenSSH (开源 ) ; 

。 系统 身份 认证 增强 工具 Kerberos (开源 ) 等 ; 

。 ”恶意 代码 查 杀 工 具 ClamAV (开源 ) 、360 杀毒 、 火 绒 剑 等 

。 系统 安全 检查 工具 Nmap〔 开 源 ) 、Fport、Sysinternals (工具 集成 ) 等 ; 

。 系统 安全 监测 工具 Netstat (系统 自 带 ) 、WinDump 开源) 等 。 

针对 Windows 系统 进行 安全 管理 问题 ， 国 内 外 安全 组 织 制定 了 安全 标准 规范 ， 以 作为 
Windows 操作 系统 配置 的 安全 基线 。 目 前 ， 可 供 参考 的 基准 线 有 CIS (Center for Internet 
Security) 、SANS TOP 20、NIST SP 800-70、《 信 息 安全 技术 ”政务 计算 机 终端 核心 配置 规范 》 
(GB/T 30278 一 2013) 等 。 

此 外 ， 安 全 公司 为 了 便于 操作 系统 的 安全 配置 管理 ， 研 发 了 安全 配置 核查 管理 系统 。 


19.3 ” ”UNIX/Linux 操作 系统 安全 分 析 与 防护 

本 节 主 要 阐述 了 UNIX/Linux 操作 系统 的 架构 ， 分 析 了 其 安全 机 制 、 常 见 的 安全 问题 ， 给 
出 UNIX/Linux 操作 系统 增强 的 技术 方法 和 参考 实例 。 
19.3.1 UNIX/Linux 系统 架构 


同 Windows 系统 相 比较 ，UNIX 系统 的 历史 更 长 。 经 过 长 期 的 发 展演 变 ， 形 成 了 多 种 具有 
不 同 特色 的 UNIX 操作 系统 。 如 Solaris、AIX、HP-UNIX、Free BSD 等 。 另 外 ， 还 有 一 种 开放 
源 代码 的 Linux 操作 系统 ， 它 类 似 于 UNIX 系统 ， 目 前 广泛 应 用 在 互联 网 上 。 虽 然 UNIX 有 不 
同 的 类 型 ， 但 是 在 技术 原理 和 系统 设计 结构 上 是 相同 的 。 一 般 的 UNIX/Linux 操作 系统 分 为 三 
层 : 硬件 层 、 系 统 内 核 和 应 用 层 ， 如 图 19-6 所 示 。 


19.3.2 UNIX/Linux 安全 机 制 


UNIX/Linux 是 一 种 多 用 户 、 多 任务 的 操作 系统 ， 因 而 ，UNIX/Linux 操作 系统 基本 的 安全 
功能 需求 就 是 不 同 用 户 之 间 避 免 相互 干扰 ， 禁 止 非 授权 访问 系统 资源 。 下 面 介 绍 UNIX/Linux 
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系统 的 主要 安全 机 制 。 


5 
核心 级 | 人 硬件 控制 


硬件 级 | 硬件 


图 19-6 ”UNIX/Linux 系统 结构 示意 图 


1. UNIX/Linux 认证 

认证 是 UNIX/Linux 系统 中 的 第 一 道 关卡 ， 用 户 在 进入 系统 之 前 ， 首 先 经 过 认证 系统 识别 
身份 ， 然 后 再 由 系统 授权 访问 系统 资源 。 目 前 ，UNIX/Linux 常用 的 认证 方式 有 如 下 几 种 。 

1) 基于 口令 的 认证 方式 

基于 口令 的 认证 方式 是 UNIX/Linux 最 常用 的 一 种 技术 ， 用 户 只 要 给 系统 提供 正确 的 用 户 
名 和 口令 就 可 以 进入 系统 。 


2) 终端 认证 

在 UNIX/Linux 系统 中 ， 还 提供 一 个 限制 超级 用 户 从 远程 登录 的 终端 认证 。 

3) 主机 信任 机 制 

UNIX/Linux 系统 提供 不 同 主机 之 间 的 相互 信任 机 制 ， 这 样 使 得 不 同 主机 用 户 之 间 无 须 系 
统 认证 就 可 以 登录 。 

4) 第 三 方 认 证 


第 三 方 认 证 是 指 非 UNIX/Linux 系统 自身 带 有 的 认证 机 制 ， 而 是 由 第 三 方 提供 认证 。 在 
UNIX/Linux 中 ， 系 统 支持 第 三 方 认证 ， 例 如 一 次 一 密 口 令 认 证 SKey、Kerberos 认证 系统 、 插 
入 式 身份 认证 PAM (Pluggable Authentication Modules) 。 


2. UNIX/Linux 访问 控制 


普通 的 UNIX/Linux 系统 一 般 通过 文件 访问 控制 列表 ACL 来 实现 系统 资源 的 控制 , 也 就 是 
常 说 的 通过 “9bit” 位 来 实现 。 例 如 ， 某 个 文件 的 列表 显示 信息 如 下 : 


-rwxr-xr-- 1 test test 4 月 9 日 17:50 sample.txt 
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由 这 些 信 息 看 出 ， 用 户 test 对 文件 sample.txt 的 访问 权限 有 “ 读 、 写 、 执 行 ”， 而 test 这 
个 组 的 其 他 用 户 只 有 “ 读 、 执 行 ”权限 ， 除 此 以 外 的 其 他 用 户 只 有 “ 读 ” 权 限 。 


3. UNIX/Linux 审计 机 制 


审计 机 制 是 UNIX/Linux 系统 安全 的 重要 组 成 部 分 ， 审 计 有 助 于 系统 管理 员 及 时 发 现 系 统 
入 侵 行为 或 系统 安全 隐患 。 不同 版 本 的 UNIX/Linux 日 志文 件 的 目录 是 不 同 的 , 早期 版 本 UNIX 
的 审计 日 志 目 录放 在 /usr/adm; 较 新 版 本 的 在 /var/adm; Solaris、Linux 和 BSD 在 UNIX/var/log。 
常见 日 志文 件 如 下 : 

。 “lastlog: 记录 用 户 最 近 成 功 登 录 的 时 间 ; 

。 loginlog: 不 良 的 登录 尝试 记录 ; 

。 ”messages: 记录 输出 到 系统 主 控 台 以 及 由 syslog 系统 服务 程序 产生 的 消息 ; 

。 utmp: 记录 当前 登录 的 每 个 用 户 ; 

。 utmpx: 扩展 的 utmp; 

。 ”wtmp: 记录 每 一 次 用 户 登录 和 注销 的 历史 信息 ; 

® WwWtmpx: 扩展 的 wtmp; 

。 ”vold.log: 记录 使 用 外 部 介质 出 现 的 错误 ; 

。 ”xferkig: 记录 fp 的 存 取 情 况 ; 

。 sulog: 记录 su 命令 的 使 用 情况 ; 

。 ”acct: 记录 每 个 用 户 使 用 过 的 命令 。 


19.3.3 ”UNIX/Linux 系统 安全 分 析 


1. UNIX/Linux 口令 /账号 安全 


UNIX/Linux 系统 的 账号 和 口令 是 入 侵 者 最 为 重要 的 攻击 对 象 , 特别 是 超级 用 户 root 口令 ， 
一 旦 root 口令 泄露 ， 则 危及 整个 系统 的 安全 。 在 UNIX/Linux 中 ， 口 令 信息 保存 在 passwd 和 
shadow 文件 中 ， 这 两 个 文件 所 在 的 目录 是 /etc。 入 侵 者 常 利用 各 种 方法 来 获取 口令 文件 。 例 如 ， 
通过 Web CGI 程序 的 漏洞 来 查看 口令 文件 passwd。 


2. UNIX/Linux 可 信 主 机 文件 安全 


在 UNIX/Linux 系统 环境 中 , 为 了 便于 主机 之 间 的 互 操作 , 系统 提供 两 个 文件 3HOME/.rhost 
或 /etc/hosts.equiv 来 配置 实现 可 信 主 机 的 添加 。 当 一 台 主 机 A 信任 另外 一 台 主 机 B 后 ， 主 机 B 
的 用 户 无 须 主 机 A 的 认证 就 可 以 从 主机 B 登录 到 主机 A。 但 是 , 这 种 简单 的 信任 关系 很 容易 导 
致 假冒 ， 如 果 可 信 主 机 文件 配置 不 当 的 话 ， 就 会 难以 避免 地 带 来 安全 隐患 。 
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3. UNIX/Linux 应 用 软件 漏洞 


UNIX/Linux 平台 的 应 用 软件 安全 隐患 日 益 暴露 , 特别 是 常用 的 应 用 软件 包 , 例如 Sendmail 
和 BIND。 这 些 安全 隐患 常常 导致 系统 被 非 授 权 访问 、 非 法 滥用 等 。 早 期 的 “小 黄 里 斯 ”网 络 
蠕虫 就 利用 Sendmail 漏洞 来 传播 。 


4. UNIX/Linux 的 SUID 文件 安全 


在 UNIX/Linux 中 , SUID 文件 是 指 被 设置 成 可 以 带 有 文件 拥有 者 的 身份 和 权限 被 执行 的 可 
执行 文件 .因为 许多 系统 安全 漏洞 存在 于 SUID 文件 中 , SUID 文件 已 成 为 系统 安全 的 重大 隐患 。 


S. UNIX/Linux 的 恶意 代码 


同 Windows 系统 相 比较 ，UNIX 系统 的 计算 机 病毒 危害 少 一 些 ， 但 仍然 存在 。 其 他 针对 
UNIX 系统 的 网 络 蠕虫 、 特 洛 伊 木 马 、rootkit 也 时 有 报道 。 例 如， 最 早 的 网 络 蠕虫 就 是 在 UNIX 
系统 中 爆发 的 。 


6. UNIX/Linux 文件 系统 安全 


文件 系统 是 UNIX/Linux 系统 安全 的 核心 ， 在 UNIX/Linux 中 ， 所 有 的 资源 都 被 看 作文 件 。 
UNIX/Linux 文件 安全 是 通过 “9 bit "位 控制 的 ， 每 个 文件 有 三 组 权限 ， 一 组 是 文件 的 拥有 者 ， 
一 组 是 文件 所 属 组 的 成 员 ， 一 组 是 其 他 所 有 用 户 。 文 件 的 权限 有 : r〈 读 ) 、w ( 写 ) 、x ( 执 
行 ) 。 但 是 ， 如 果 这 种 控制 操作 设置 不 当 ， 就 会 给 系统 带 来 危害 。 例 如 ， 假 设 /etc/shadow 文件 
人 允许 任何 人 可 读 ， 就 会 导致 口令 信息 泄露 。 


7. UNIX/Linux 网 络 服务 安全 
在 UNIX/Linux 系统 中 ， 系 统 提供 许多 网 络 服务 ， 例 如 finger、R- 命 令 服务 等 。 虽 然 这 些 


服务 能 够 给 工作 带 来 方便 ， 但 是 也 造成 系统 存在 安全 隐患 。 例 如 ， 通 过 finger 服务 可 以 获取 远 
程 UNIX/Linux 主机 的 信息 ， 过 程 如 下 。 


$ finger 0Gvictim.host 
Alice 了 232 pts/2 Mon 17:18 some.place 


Bob ?2232 pts/4 <May 13 17:04> EE 


8. UNIX/Linux 系统 程序 漏洞 


入 侵 者 一 般 通 过 普通 账号 进入 UNIX/Linux 系统 ， 然 后 再 利用 系统 的 程序 漏洞 提升 权限 。 
下 面 就 是 利用 SunOS 5.5 的 eject 程序 漏洞 获取 超级 用 户 权限 的 例子 。 


加 414 基 。 信息 安全 工程 师 教程 (第 2 版 ) 


$ telnet victim.host 登录 主机 

Connecting to host victim.host...Connected 

UNIX(r) System V Release 4.0 (ox) 

login: bob 

Password: [bob123] 猜测 弱 口令 

Last login: Mon May 17 17:18:00 from some.place 

Sun Microsystems Inc. SunOs 5.5 Generic November 1995 
Ox 

oxl% cd /tmp; mkdir .X12; cd .X12 

oxl% cat eject.c source file 


Oxl% gcc eject.c -o ej 


oxl%® ./ej 缓冲 区 溢出 攻击 
Jumping to address 0xdffff678 B[364] E[400] SO[400] 
# id 


uid=0 (root) gid=1 (other) 获得 超级 权限 
19.3.4 UNIX/Linux 系统 安全 增强 方法 和 流程 


1. UNIX/Linux 系统 安全 增强 方法 


同 Windows 系统 的 安全 增强 一 样 ， 目 前 ，UNIX/Linux 系统 的 安全 增强 方法 常见 的 有 下 面 
几 种 : 

。 ”给 安全 漏洞 打 补 丁 ; 

。 ”停止 不 必要 的 服务 ; 

。 ”升级 或 更 换 软 件 包 ; 

。 ”修改 系统 配置 ; 

。 ”安装 专用 的 安全 工具 软件 。 


2. UNIX/Linux 系统 安全 增强 基本 流程 


UNIX/Linux 系统 安全 增强 是 一 件 烦琐 的 事情 ， 同 Windows 系统 安全 增强 类 似 ， 其 安全 增 
强 基 本 流程 如 图 19-7 所 示 。 
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确认 UNIX/Linux 系 统 安全 目标 


汪 


安装 最 小 化 UNIX/Linux 系 统 


UNIX/Linux 系 统 安全 策略 配置 


安装 UNIX/Linux 第 三 方 安全 软件 工具 


UNIX/Linux 系 统 安全 修正 J 


UNIX/Linux 系 统 安全 检查 k 


UNIX/Linux 系 统 安全 运行 


图 19-7 UNIX/Linux 安全 增强 基本 流程 示意 图 


由 图 19-7 所 知 ，UNIX/Linux 系统 安全 加 固 的 步骤 如 下 : 

第 一 步 ， 确 认 系统 的 安全 目标 。 实 际 上 ， 系 统 的 安全 目标 就 是 用 户 根据 系统 的 运行 业务 而 
期 望 的 安全 要 求 ， 包 括 系统 的 保密 性 、 完 整 性 、 可 用 性 、 可 控制 性 、 抗 抵赖 性 。 

第 二 步 ， 安 装 最 小 化 UNIX/Linux 系统 。 这 一 步 的 任务 就 是 根据 系统 所 要 完成 的 业务 ， 而 
选择 合适 的 安装 包 ， 减 少 不 需 要 的 软件 包 ， 以 减少 安全 隐患 。 

第 三 步 ， 利 用 UNIX/Linux 系统 自身 的 安全 机 制 ， 配 置 安全 策略 ， 主 要 有 用 户 及 口令 、 主 
机 信任 、 文 件 访问 、 网 络 服务 、 系 统 审计 等 。 

第 四 步 ， 在 UNIX/Linux 系统 自身 的 安全 机 制 不 行 的 情况 下 ， 利 用 第 三 方 软件 包 来 增强 系 
统 安全 。 例 如 ， 用 SSH 来 蔡 换 Telnet。 

第 五 步 ， 利 用 系统 安全 测试 工具 ， 检 查 UNIX/Linux 系统 的 安全 策略 的 有 效 性 或 系统 的 
安全 隐患 。 这 些 常用 的 安全 工具 有 端口 扫描 Nmap、 文 件 安全 配置 检查 COPS、 口 令 检 查 工具 
Crack 等 。 

第 六 步 ， 根 据 系统 安全 测试 ， 重 新 调整 安全 策略 或 安全 措施 。 

第 七 步 ， 在 系统 安全 检查 通过 后 ，UNIX/Linux 系统 就 开始 正常 运行 。 这 时 ， 系 统 需 要 不 
定期 进行 安全 监控 ， 包 括 进程 监控 、 用 户 监控 、 网 络 连接 监控 、 日 志 分 析 等 ， 通 过 安全 监控 以 
保持 系统 安全 。 
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19.3.5 ”UNIX/Linux 系统 安全 增强 技术 


1. 安装 系统 补丁 软件 包 


及 时 从 应 急 响 应 安全 站 点 获取 UNIX/Linux 系统 漏洞 公布 信息 ， 并 根据 漏洞 危害 情况 ， 给 
系统 安装 补 本 包 。 同 时 ， 在 安装 操作 系统 补丁 前 ， 必 须 确认 补丁 软件 包 的 数字 签名 ， 检 查 其 完 
整 性 ， 保 证 补丁 软件 包 是 可 信 的 ， 以 防止 特洛伊 木马 或 恶意 代码 攻击 。 在 Linux 中 ， 可 以 用 
MD5Sum 检查 工具 来 判断 补丁 软件 包 的 完整 性 。 


2. 最 小 化 系统 网 络 服务 


最 小 化 配置 服务 是 指 在 满足 业务 的 前 提 条 件 下 ， 尽 量 关 闭 不 需要 的 服务 和 网 络 端口 ， 以 减 
少 系统 潜在 的 安全 危害 。 实 现 UNIX/Linux 网 络 服 务 的 最 小 化 ， 具 体 安全 要 求 如 下 : 

。 ”inetd.conf 的 文件 权限 设置 为 600; 

。 ”inetd.conf 的 文件 属 主 为 root; 

。 “services 的 文件 权限 设置 为 644; 

。 “services 的 文件 属 主 为 root; 

。 在 inetd.conf 中 ， 注 销 不 必要 的 服务 ， 比 如 finger、echo、chargen、rsh、rlogin 、tftp 

服务 ; 
。 ”只 开放 与 系统 业务 运行 有 关 的 网 络 通信 端口 。 


3. 设置 系统 开机 保护 口令 


在 UNIX/Linux 系统 中 ， 用 户 可 以 通过 特殊 的 组 合 键 而 无 须 提供 用 户 名 和 口令 ， 就 能 以 单 
用 户 身 份 进入 系统 。 因 此 ， 针 对 这 种 威胁 ， 一 方面 要 尽量 避免 入 侵 者 物理 临近 系统 ， 另 一 方面 
要 设置 系统 开机 保护 口令 , 阻止 入 侵 者 开机 ， 从 而 达到 保护 系统 的 目的 。 开 机 保护 口令 由 BIOS 
程序 设置 实现 ， 这 样 当 系统 启动 时 ，BIOS 程序 将 提示 用 户 输入 密码 。 


4. 弱 口 令 检 查 


UNIX/Linux 系统 中 的 弱 口 令 是 入 侵 者 进行 攻击 的 切入 点 ， 一 旦 口令 被 入 侵 者 猜测 到 ， 系 
统 就 会 受到 极 大 的 危害 。 因 此 ， 针 对 弱 口 令 安全 隐患 ， 系 统管 理 员 通过 口令 破解 工具 来 检查 系 
统 中 的 弱 口 令 ， 常 用 的 口令 检查 工具 是 John the Ripper。 

John the Ripper 是 一 个 快速 的 口令 破解 工具 ， 主 要 针对 UNIX 下 的 弱 口 令 ， 支 持 的 平台 有 
UNIX、DOS、Linux、Windows。 下 面 举 例 说 明 应 用 John 工具 破解 UNIX 弱 口 令 的 过 程 。 在 命 
令 行 方 式 下 键入 John， 可 显示 它 的 使 用 方法 ， 如 图 19-8 所 示 。John 提供 多 种 参数 模式 来 破解 
口令 。 可 选 的 参数 如 下 : 

。 -single: 简单 破解 模式 。 
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e。 -wordfile: FILE -stdin: 字符 清单 模式 ， 从 文件 或 标准 输入 中 读 取 字 符 

。 ”-rules: 应 用 字符 清单 模式 时 的 使 能 规则 。 

e ”-incremental[: MODE]: 已 选 定 破解 模式 的 增强 方式 。 

e。 -extermal: MODE: 扩展 模式 或 字符 过 滤 。 

。 -restore [: FILE]: 继续 上 次 被 中 断 的 工作 。John 的 工作 中 途 被 中 断后 ， 当 前 解密 的 进 
度 存放 在 Restore 文件 中 ， 可 将 Restore 拷贝 成 一 个 新 文件 。 如 果 参 数 后 不 带 文件 名 ， 
则 John 默认 使 用 Restore 文件 。 

。 -makechars: FILE: 制作 字符 表 ， 如 指定 的 文件 存在 ， 则 会 被 覆盖 。 

。 -show: 显示 已 经 破解 的 密码 。 

e -test: 测试 本 机 上 运行 John 破解 密码 的 速度 。 

。 -users: [-]LOGINIUID[...]: 只 破解 指定 的 用 户 ， 如 root。 

e -groups: [-]GID[...]: 只 破解 指定 组 里 的 用 户 。 

。 -shells: [-]SHELL[...]: 只 破解 能 用 shell 的 用 户 。 

。 -salts: [-]COUNT: 只 破解 用 户 名 大 于 COUNT 的 账号 。 

e。 -fomat: NAME: 指定 破解 密码 格式 名 。 密码 格式 名 有 DES、BSDI、 MD5、BF、AFS、LM。 

。 -savemem: LEVEL: 启用 内 存 保存 ， 保 存 层次 有 1 到 3 三 层 。 


二 


| ES WINNT\System32\cmd.exe - john 


HD: \crack\john-16 \run>john 
John the Ripper Version 1.6 Copyright Cc> 1996-98 by Solar Designer 


age: john [OPTIONS] [P 
gle ' mode 
-wordf ile:FILE -stdin read words from FILE or stdin 
s for word mode 
1 mode [using tion MODE] 
al mode or word filter 
cking, just write words to stdout 
ion [from FILE] 
n file nane to FILE 


print status on [from FILE] 
make a cha = sill] be overwritten 


perform 
load thi 
only 


图 19-8 John 软件 的 帮助 信息 


将 需要 的 参数 提供 给 John， 执 行 命令 john.exe password.lst shadow 就 可 以 开始 破解 ， 如 
图 19-9 所 示 。 其 中 ，shadow 是 目标 UNIX 系统 的 加 密 口令 文件 shadow，password.lst 是 口令 字 
典 文件 名 。 
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图 19-9 应 用 John 工具 的 口令 破解 过 程 示意 图 


从 图 19-9 中 可 以 看 到 ， 已 经 破解 了 alias、cvs 用 户 的 口令 ， 他 们 的 口令 分 别 是 alias、cvs， 
这 两 个 用 户 的 口令 与 用 户 名 相同 。 


S. 禁用 默认 账号 


一 些 UNIX/Linux 系统 带 有 默认 账号 ， 这 些 默认 账号 的 口令 又 是 为 大 多 数 人 所 知 的 ， 极 可 
能 成 为 攻击 者 进入 系统 的 后 门 ， 因 而 留 在 系统 中 极为 危险 。 因 此 ， 对 这 些 默 认 账号 最 好 的 安全 
处 理 方式 是 禁用 ， 或 者 更 改口 令 。 


6. 用 SSH 增强 网 络 服务 安全 


在 UNIX/Linux 系统 中 ， 一 些 网 络 服务 在 设计 时 就 缺乏 安全 考虑 ， 存 在 安全 缺陷 ， 易 导致 
系统 受到 侵害 。 例 如 ， 远 程 用 户 Telnet 登录 传送 的 账号 和 密码 都 是 明文 ， 使 用 普通 的 Sniffer 软 
件 就 可 以 截获 这 些 明文 信息 。 而 且 ， 系 统 认 证 强度 小 ， 容 易 受 到 重 放 和 完整 性 攻击 。 与 Telnet 
一 样 ，FTP 有 相同 的 安全 问题 。 目 前 ， 针 对 Telnet、FTP 的 安全 , 一 般 采 用 SSH (Secure Shell) 
来 增强 ，SSH 提供 认证 、 加 密 等 安全 服务 ， 可 以 在 两 台 或 多 台 主 机 之 间 构 造 一 条 加 密 通道 ， 保 
证 通信 安全 。 


7. 利用 tcp_wrapper 增强 访问 控制 


tcp_wrapper 是 Wietse Venema 开发 的 一 个 可 用 于 各 种 UNIX 平台 的 免费 软件 ，tcp_wrapper 
正 逐 渐 成 为 一 种 标准 的 UNIX 安全 工具 ， 成 为 UNIX 守护 程序 inetd 的 一 个 插件 。 通 过 
tcp_wrapper， 管 理 员 可 以 设置 对 inetd 提供 的 各 种 服务 进行 监控 和 过 滤 。 
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8. 构筑 UNIX/Linux 主机 防火 墙 


目前 ,支持 UNIX/Linux 系统 的 防火 墙 软件 包 有 ipchains、iptables 以 及 netfilter。 利 用 这 些 
防火 墙 软件 包 , UNIX/Linux 系统 可 以 过 滤 掉 不 需要 的 通信 , 而 且 可 以 从 网 络 上 限制 远程 访问 主 
机 ， 从 而 减少 系统 受到 的 侵害 。 


9. 使 用 Tripwire 或 MDSSum 完整 性 检测 工具 


当 建 立新 的 UNIX/Linux 系统 后 ， 应 记录 所 有 系统 文件 的 硬件 和 软件 信息 ， 并 形成 一 个 系 
统 文件 基准 信息 库 ， 以 便 日 后 检查 系统 文件 的 完整 性 变化 ， 避 免 恶 意 程序 的 植 入 和 修改 。 利 用 
Tripwire 或 MD5Sum 软件 安全 工具 可 以 发 现 被 算 改 的 文件 。 
。 “Tripwire 是 最 为 常用 的 开放 源码 的 完整 性 检查 工具 , 它 能 生成 目标 文件 的 完整 性 标签， 
并 周期 性 地 检查 文件 是 否 被 更 改 。 
。 MD5Sum 是 文件 完整 性 检查 的 有 力 工具 , 利用 它 可 以 方便 地 创建 长 度 为 128 位 的 文件 
指纹 信息 ， 也 可 以 利用 它 检查 文件 是 否 被 修改 过 。 


10. 检测 LKM 后 门 


UNIX/Linux 系统 一 般 都 支持 LKM (Loadable Kemel Module) 功能 ， 但 是 留 下 了 一 个 安全 
隐患 , 就 是 入 侵 者 能 编写 可 加 载 内 核 模块 , 例如 rootkit, 从 而 造成 较 大 的 系统 危害 性 。 针对 LKM 
后 门 危害 ， 除 了 利用 完整 性 检查 工具 外 ， 还 可 利用 专用 安全 检查 工具 ， 例 如 Kstat、Chkrootkit、 
Rootkit Hunter。 


11. 系统 安全 监测 


UNIX/Linux 系统 的 安全 是 动态 的 ， 对 运行 的 系统 进行 实时 监控 有 利于 及 时 发 现 安全 问题 ， 做 
出 安全 应 急 响 应 。 针 对 UNIX/Linux 系统 的 安全 监测 ， 常 用 的 安全 工具 有 Netstat、lsof、Snort 等 。 


19.3.6 Linux 安全 增强 配置 参考 


Linux 是 被 广泛 应 用 的 系统 ， 其 系统 安全 性 日 益 重要 。 针 对 Linux 的 安全 问题 ， 下 面 介绍 
Linux 目前 主要 的 安全 增强 措施 和 操作 。 


1. 禁止 访问 重要 文件 


对 于 系统 中 的 某 些 关键 性 文件 ， 如 inetd.conf、services 和 lilo.conf 等 可 修改 其 属性 ， 防 止 
意外 修改 和 被 普通 用 户 查看 。 
首先 改变 文件 属性 为 600: 


#chmod 600 /etc/inetd.conf 


保证 文件 的 属 主 为 root， 将 其 设置 为 不 能 改变 : 


是 420 项 。 信息 安全 工程 师 教程 第 2 版 ) 


#chattr +i /etc/inetd.conf 


这 样 ， 对 该 文件 的 任何 改变 都 将 被 禁止 。 
只 有 root 重新 设置 复位 标志 后 才能 进行 修改 : 


#chattr-i /etc/inetd.conf 
2. 禁止 不 必要 的 SUID 程序 


SUID 可 以 使 普通 用 户 以 root 权限 执行 某 个 程序 ， 因 此 应 严格 控制 系统 中 的 此 类 程序 。 找 
出 root 所 属 的 带 s 位 的 程序 : 


#find / -type f \ (-perm -04000 -o -perm -02000 \) -print1less 


禁止 其 中 不 必要 的 程序 : 


#chmod a-s program name 


3. 为 LILO 增加 开机 口令 


在 /etc/lilo.conf 文 件 中 增加 选项 , 从 而 使 LILO 启动 时 要 求 输入 口令 , 以 加 强 系 统 的 安全 性 。 
具体 设置 如 下 : 


boot=/dev/had 

map=/boot/map 
install=/boot/boot.b 
time-out=60 # 等 待 一 分 钟 

promp 

default=linux 
password=<password> 

# 口 令 设 置 
image=/boot/vmlinuz-2.2.14-12 
label=linux 
initrd=/boot/initrd-2.2.14-12.img 
Foot=/dev/hda6 


read-only 


此 时 需 注意 ， 由 于 在 LILO 中 口令 是 以 明码 方式 存放 的 ， 所 以 还 需要 将 lilo.conf 的 文件 属 
性 设置 为 只 有 root 可 以 读 写 : 


# chmod 600 /etc/lilo.conf 
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当然 ， 还 需要 进行 如 下 设置 ， 使 llo.conf 的 修改 生效 : 


# /sbin/lilo -v 


4. 设置 口令 最 小 长 度 和 最 短 使 用 时 间 


口令 是 系统 中 认证 用 户 的 主要 手段 ， 系 统 安 装 时 默认 的 口令 最 小 长 度 通常 为 5， 但 为 保证 
口令 不 易 被 猜测 攻击 ， 可 增加 口令 的 最 小 长 度 至 少 为 8。 为 此 ， 需 修改 文件 /etc/login.defs 中 的 
参数 PASS_MIN LEN。 同 时 应 限制 口令 的 使 用 时 间 ， 保 证 定期 更 换 口令 ， 建 议 修改 参数 
PASS MIN DAYS, 


$5. 限制 远程 访问 


在 Linux 中 可 通过 /etc/hosts.allow 和 /etc/hosts.deny 这 两 个 文件 允许 和 禁止 远程 主机 对 本 地 
服务 的 访问 。 
(1) 编辑 hosts.deny 文件 ， 加 入 下 列 行 : 


#Deny access to everyone. 


ALL:ALLQ@ALL 


则 所 有 服务 对 所 有 外 部 主机 禁止 ， 除 非 由 hosts.allow 文件 指明 允许 。 
(2) 编辑 hosts.allow 文件 ， 可 加 入 下 列 行 : 


#Just an example: 


ftp:202.XXX.XXX YYY.com 


则 将 允许 下 地 址 为 202.XXX.XXX 和 主机 名 为 YYY.com 的 机 器 作为 客户 访问 FTP 服务 。 
(3) 设置 完成 后 ， 可 用 tcpdchk 检查 设置 是 否 正确 。 


6. 用 户 超时 注销 


如 果 用 户 离开 时 忘记 注销 账户 ， 则 可 能 给 系统 安全 带 来 隐患 。 可 修改 /etc/profile 文件 ， 保 
证 账户 在 一 段 时 间 没 有 操作 后 ， 自 动 从 系统 注销 。 
编辑 文件 /etc/profile， 在 “HISTFILESIZE=” 行 的 下 一 行 增加 如 下 一 行 : 


TMOUT=600 

则 所 有 用 户 将 在 10 分 钟 无 操作 后 自动 注销 。 
7. 注销 时 删除 命令 记录 

编辑 /etc/skel/.bash_logout 文件 ， 增 加 如 下 行 : 


rm -f $HOME/.bash hsitory 
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这 样 使 得 系统 中 的 用 户 在 注销 时 都 会 删除 其 命令 记录 。 如 果 只 需要 针对 某 个 特定 用 户 ， 如 
root 用 户 进行 设置 ， 则 可 只 在 该 用 户 的 主 目录 下 修改 /$5HOME/.bash_history 文件 ， 增 加 相同 的 
一 行 即 可 。 

19.3.7 ”UNIX/Linux 安全 模块 应 用 参考 

Linux 安全 模块 (LSM) 为 Linux 内 核 提供 了 一 个 轻 量 级 的 、 通 用 目的 的 访问 控制 框架 ， 
使 得 很 多 不 同 的 访问 控制 模型 可 以 作为 可 加 载 模块 来 实现 .LSM 采用 了 在 内 核 源 代码 中 放置 钩 
子 的 方法 ， 对 内 核 内 部 对 象 的 访问 进行 控制 。 当 用 户 级 进程 执行 系统 调用 时 ， 首 先 查找 索引 节 
点 , 进行 错误 检查 和 自主 访问 控制 (DAC)， 在 对 索引 节点 进行 访问 之 前 ,LSM 钩子 调用 LSM 
安全 模块 策略 引擎 进行 安全 策略 检查 ， 给 出 是 否 通过 判断 ， 如 图 19-10 所 示 。 


访问 索引 节点 


图 19-10 LSM 安全 工作 过 程 示意 图 


用 户 空 间 
内 核 空间 


LSM 模 块 策略 引擎 
检查 上 下 文 
该 请 求 是 否 符合 安全 策略 
通过 或 拒绝 


是 或 否 


通过 LSM, 相关 安全 组 织 可 以 根据 安全 需要 开发 特定 的 安全 模块 , 挂 接 到 Linux 操作 系统 。 
目前 ,采取 这 种 方式 来 增强 Linux 安全 的 主要 有 插件 式 身份 验证 模块 框架 Pluggable 
Authentication Modules，PAM) 、SELinux 等 。 


1. PAM 


如 图 19-11 所 示 ， 通 过 “插件 ”增加 UNIX/Linux 新 的 身份 验证 服务 ， 而 无 须 更 改 原 有 的 
系统 登录 服务 ， 例 如 Login、FTP 和 Telnet。 同 时 ， 可 以 使 用 PAM 将 UNIX/Linux 登录 与 其 他 
安全 机 制 ( 例 如 Kerberos) 集成 在 一 起 。 


2. SELinux 
SELinux 是 Security Enhanced Linux 的 缩写 ， 采 用 Flask 体系 增强 Linux 访问 控制 ， 如 


图 19-12 所 示 。SELinux 安全 体系 由 策略 和 实施 组 成 ， 策 略 封装 在 安全 服务 器 中 ， 实 施 由 对 象 
管理 器 具体 执行 。 
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19-11 PAM 安全 结构 示意 图 


客户 机 
对 象 请 求 


对 象 管 理 器 
策略 执行 
1 


对 象 到 SID 映 射 


图 19-12 ” SELinux 安全 体系 结构 示意 图 


多 安全 服务 器 
| 安全 策略 
下 文 的 映射 


实施 | 策略 


SELinux 的 安全 服务 器 采取 混合 的 安全 策略 ， 主 要 包括 类 型 实施 〈Type Enforcement) 、 
基于 角色 的 访问 控制 (Role-Based Access Control) 和 可 选 的 多 级 别 安全 性 (Optional Multilevel 
Security) 。SELinux 通过 设置 标记 和 安全 策略 规则 实施 Linux 系统 的 强制 访问 控制 。 其 中 ， 
SELinux 系统 定义 用 户 对 应 相应 角色 ， 每 个 主体 都 有 一 个 域 (domain) ， 每 个 客体 都 有 一 个 类 
型 (type) 。SELinux 的 安全 策略 以 规则 形式 表达 。 格 式 如 下 : 


(allow | auditallow | dontaudit) src type target type:classes permissions; 


例如 ， SELinux 的 passwd 规则 定义 如 下 : 


allow passwd t shadow t : file 


{ create ioctl read getattr lock write setattr appena link unlink rename }; 
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该 规则 的 表示 含义 是 : 允许 具有 passwd t 域 类 型 的 进程 读 取 、 写 入 和 创建 具有 shadow +t 类 
型 的 文件 , 其 目的 是 passwd 程序 以 passwd t 类 型 运行 ,从 而 可 以 更 改 密码 文件 (/ etc /shadow) 。 

SELinux 的 强制 访问 控制 有 利于 减缓 网 络 攻击 影响 。 假 如 将 Apache 进程 标记 为 httpd_t， 
并 将 Apache 内 容 标 记 为 httpd_sys_content t 和 httpd_sys_content_rw_t, 而 将 信用 卡 数据 存储 在 
标记 为 mysqld_data t 的 MySQL 数据 库 中 。 当 Apache 进程 被 黑客 入 侵 ， 虽 然 黑客 可 以 控制 
httpd_t 进程 ， 并 被 允许 读 取 httpd_sys_content t 文件 并 写 入 httpd_sys_content rw _t。 但 是 ， 
Apache 进程 不 允许 黑客 读 取 信用 卡 数据 mysqld_data t。 


19.3.8 ”UNIX/Linux 系统 典型 安全 工具 与 参考 规范 


UNIX/Linux 系统 常 应 用 于 服务 器 ， 常 见 的 典型 安全 工具 如 下 : 

。 ”远程 安全 登录 管理 开源 工具 OpenSSH; 

。 系统 身份 认证 增强 开源 工具 Kerberos; 

。 系统 访问 控制 增强 开源 工具 SELinux、iptables、TCP Wrappers 等 ; 

。 恶意 代码 查 杀 工 具 ClamAV、Chkrootkit、Rootkit Hunter 等 ; 

。 系统 安全 检查 工具 Nmap、John the Ripper、OpenVAS 等 ; 

。 ”系统 安全 监测 工具 lsof、Netstat、Snort 等 。 

UNIX/Linux 安全 基准 线 参 考 标准 规范 有 CIS (Center for Internet Security) 、SANS 等 。 


19.4 国产 操作 系统 安全 分 析 与 防护 


本 节 阐述 了 国产 操作 系统 发 展 状况 ， 分 析 了 国产 操作 系统 的 安全 问题 ， 给 出 了 国产 操作 系 
统 安全 增强 措施 及 参考 案例 。 


19.4.1 国产 操作 系统 概况 


国产 操作 系统 一 般 是 指 由 国家 自主 研发 力量 研制 的 操作 系统 ， 具 有 较 强 的 可 控 性 和 安全 
性 。 国 产 操作 系统 厂商 在 开源 操作 系统 Linux 等 的 基础 上 ， 经 过 长 期 研发 ， 能 够 对 开源 操作 系 
统 进行 深度 分 析 以 及 安全 增强 ， 具 有 安全 漏洞 挖掘 分 析 和 修补 能 力 。 

1999 年 , 国家 质量 技术 监督 局 发 布 了 国家 标准 《计算 机 信息 系统 ”安全 保护 等 级 划分 准则 》 
(GB 17859 一 1999) ， 为 计算 机 信息 系统 安全 保护 能 力 划分 了 等 级 。 该 标准 已 于 2001 年 起 强制 
执行 。 国 内 早期 的 安全 操作 系统 为 安 胜 操作 系统 ， 该 操作 系统 V1.0 于 2001 年 2 月 20 日 首 家 
通过 了 中 国 国 家 信息 安全 产品 测评 认证 中 心 的 测评 认证 ， 获 得 国家 信息 安全 产品 型 号 认证 。 目 
前 ， 国 内 初步 形成 了 操作 系统 系列 产品 ， 包 括 桌 面 操作 系统 、 通 用 操作 系统 、 高 级 操作 系统 、 
安全 操作 系统 、 增 强 安全 操作 系统 以 及 面向 移动 设备 操作 系统 。 形 成 了 以 中 科 方 德 、 中 标 麒 鹿 、 
北京 凝 思科 技 、 普 华 、 深 度 Linux 等 为 代表 的 操作 系统 厂商 ， 推 动 了 国产 操作 系统 研发 和 服务 
的 发 展 。 此 外 ， 新 型 的 国产 操作 系统 还 有 华为 鸿 蒙 操作 系统 、 阿 里 飞天 云 操作 系统 。 国 产 操作 
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系统 相关 产品 已 在 能 源 、 人 金融、 交通、 政府、 央企 、 互 联网 等 行业 领域 应 用 。 基 于 国产 操作 系 
统 的 产业 生态 正在 逐步 形成 。 
19.4.2 ”国产 操作 系统 安全 分 析 
国产 操作 系统 基于 开源 软件 Linux 进行 研制 开发 ， 其 安全 性 与 Linux 紧密 相关 。 同 时 ， 由 


于 国产 操作 系统 配套 的 相关 软件 包 或 硬件 不 可 避免 地 存在 安全 隐患 ， 这 也 对 国产 化 操作 系统 构 
成 了 安全 威胁 。 国 产 操作 系统 主要 面临 的 安全 风险 分 析 如 下 。 


1. Linux 内 核 的 安全 风险 

内 核 漏洞 类 型 主要 有 输入 验证 错误 、 缓 冲 区 溢出 错误 、 边 界 条 件 错误 、 访 问 验证 错误 、 异 
常 条 件 处 理 错误 、 环 境 错误 、 配 置 错误 、 条 件 竞 争 错误 、 设 计 错 误 等 。 

2. 自主 研发 系统 组 件 的 安全 


因为 软件 的 复杂 性 ， 国 产 操作 系统 自主 研发 系统 组 件 可 能 存在 安全 漏洞 ， 导 致 操作 系统 面 
临安 全 风险 。 


3. 依赖 第 三 方 系统 组 件 的 安全 


国产 操作 系统 所 依赖 的 第 三 方 系统 组 件 存在 安全 漏洞 , 引发 操作 系统 安全 风险 问题 。 例 如 ， 
根据 CVE-2018-1111 的 描述 , NetworkManager 的 相关 脚本 中 存在 安全 缺陷 , 可 以 导致 恶意 DHCP 
服务 器 或 攻击 者 在 本 地 网 络 中 欺骗 DHCP 响应 , 在 操作 系统 中 以 root 特权 执行 任意 命令 。 该 漏 
洞 对 国产 操作 系统 有 安全 影响 。 


4. 系统 安全 配置 的 安全 

对 国产 操作 系统 的 安全 配置 不 当 ， 构 成 系统 安全 威胁 。 常 见 的 安全 配置 不 当 包括 未 启用 系 
统 安全 功能 、 设 置 弱 口 令 、 开 放 过 多 的 服务 端口 、 使 用 非 安全 远程 登录 工具 等 。 

S. 硬件 的 安全 
国产 操作 系统 受制 于 硬件 而 产生 的 安全 问题 。 例 如 , 根据 CVE-2017-5715、CVE-2017-5753、 
CVE-2017-5754 的 描述 ， 熔 断 漏洞 利用 CPU 乱 序 执行 技术 的 设计 缺陷 ， 破 坏 了 内 存 隔 离 机 制 ， 
使 恶意 程序 可 越权 访问 操作 系统 内 存 数 据 , 造成 敏感 信息 泄露 。 幽灵 漏洞 利用 了 CPU 推测 执行 


技术 的 设计 缺陷 ， 破 坏 了 不 同 应 用 程序 间 的 逻辑 隔离 ， 使 恶意 应 用 程序 可 能 获取 其 他 应 用 程序 
的 私有 数据 ， 造 成 敏感 信息 泄露 。 该 漏洞 对 国产 操作 系统 有 安全 影响 。 


19.4.3 ”国产 操作 系统 安全 增强 措施 


产 操作 系统 在 自主 可 控 、 安 全 可 信 方 面 ， 对 开源 操作 系统 Linux 进行 安全 增强 ， 从 多 个 
方面 对 Linux 操作 系统 提供 安全 保障 ， 包 括 管 理 员 分 权 、 最 小 特权 、 结 合 角 色 的 基于 类 型 的 访 
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问 控制 、 细 粒度 的 自主 访问 控制 、 多 级 安全 ( 即 禁止 上 读 下 写 ) 等 多 项 安全 功能 ， 从 内 核 到 应 
用 提供 全 方位 的 安全 保护 。 中 标 鹿 麟 、 中 科 方 德 等 厂商 研发 的 国产 操作 系统 通过 了 国家 标准 《 信 
息 安全 技术 ”操作 系统 安全 技术 要 求 《GB/T 20272 一 2019) 》 中 规定 的 第 三 级 、 第 四 级 认证 。 
下 面 简要 给 出 典型 的 安全 操作 系统 分 析 实 例 。 


1. 中 科 方 德 方舟 安全 操作 系统 


中 科 方 德 方舟 安全 操作 系统 以 安全 性 为 主要 特征 , 通过 了 公安 部 信息 安全 产品 检测 中 心 的 
检测 ， 满 足 《 信 息 安全 技术 ”操作 系统 安全 技术 要 求 《GB/T 20272 一 2019) 》 中 第 四 级 一 一 结 
构 化 保护 级 的 要 求 ， 并 获得 销售 许可 证 。 方 德 方 舟 操作 系统 通过 对 服务 器 操作 系统 自 底 向 上 进 
行 结构 化 设计 和 实现 优化 ， 保 证 服务 器 在 可 控 、 安 全 、 高 效 状态 下 运行 ， 能 够 为 政府 、 军 工 、 
金融 、 证 券 、 涉 密 等 领域 的 用 户 提供 自主 可 控 的 基础 计算 平台 。 方 德 方舟 安全 操作 系统 的 安全 
体系 结构 如 图 19-13 所 示 。 


于 居 史 剧 NN 匡 目 攻 
提供 安全 管理 机 制 ， 整 户 密 户 认 户 但 和 警 针对 用 户 安全 需求 ， 对 系统 
供 管理 员 针 对 安全 售 数 售 数 证 身 | 分 局 提供 各 方面 的 安全 保护 
需求 实施 策略 定制 。 挫 据 扰 据 份 权 应 
安全 管理 机 制 安全 策略 定制 
2 
为 满足 标准 及 实际 种 技术 
多 
计 ， 全 模型 形 
制 访问 机 制 ， 识 别 袜 全 全 革履 
与 鉴定 ， 可 信 路 径 ， 隐蔽 信道 分 析 
完整 性 保护 等 安全 
机 制 系统 向 下 提供 对 可 信 硬 件 的 
支持 ， 并 基于 可 信 硬 件 提供 
可 信 硬 件 应 用 支撑 环境 


图 19-13 方 德 方舟 安全 操作 系统 安全 体系 结构 示意 图 


方 德 方舟 安全 操作 系统 的 安全 特点 主要 如 下 。 

1) 基于 三 权 分 立 的 管理 机 制 

根据 管理 员 在 系统 运行 过 程 中 的 职责 范围 和 最 小 特权 原则 , 将 普通 操作 系统 中 超级 管理 员 
的 权限 分 配给 系统 管理 员 、 安 全 管理 员 、 审 计 管理 员 ， 并 形成 相互 制约 关系 ， 防 止 管理 员 的 恶 
意 或 偶然 操作 引起 系统 安全 问题 。 

2) 强化 的 身份 标识 与 认证 机 制 

为 系统 中 的 所 有 用 户 提供 身份 标识 和 认证 机 制 , 用 户 的 身份 标识 在 系统 的 整个 生命 周期 内 
可 以 唯一 地 标识 用 户 的 身份 ， 采 用 强化 的 口令 管理 及 基于 数字 证 书 认 证 机 制 ， 实 现 对 用 户 身份 
的 真实 性 鉴别 。 
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3) 综合 应 用 多 种 安全 策略 ， 提 高 系统 的 安全 性 

系统 通过 数据 所 有 者 自身 定义 的 访问 控制 策略 与 主客 体 集中 控制 和 授权 机 制 相 结合 的 方 
式 ， 实 现 “最 小 特权 ”， 防 止 数 据 访问 范围 扩大 ， 保 证 系统 数据 的 机 密 性 和 完整 性 ， 从 而 有 效 
提供 系统 的 安全 性 。 

4) 基于 内 核 层 的 安全 审计 

用 户 所 有 的 操作 和 各 种 应 用 程序 包括 恶意 的 ) 的 操作 ， 都 一 定 要 通过 操作 系统 的 内 核 才 
能 作用 ， 因 此 ， 在 系统 内 核 层 进行 的 审计 ， 是 不 可 能 被 绕 过 的 。 

5) 支持 各 类 通用 软件 ， 具 有 良好 的 软 硬 件 兼容 性 

与 国内 外 主流 中 间 件 厂商 、 数 据 库 厂商 、 服 务 器 整 机 厂商 进行 测试 适 配 与 兼容 性 互 认 证 ， 
保证 良好 的 软 硬 件 兼 容 性 。 


2. 中 标 麒麟 安全 操作 系统 


中 标 麒 麟 安全 操作 系统 基于 LSM 机 制 的 SELinux 安全 子 系统 框架 ， 提 供 三 权 分 立 机 制 权 
限 集 管理 功能 和 统一 的 安全 管理 中 心 SMC, 支持 安全 管理 模式 切换 , 针对 特定 应 用 的 安全 策略 
定制 ;提供 核心 数据 加 密 存 储 、 双 因子 认证 、 高 强度 访问 控制 、 进 程 级 最 小 权限 、 网 络 安全 防 
护 、 细 粒度 的 安全 审计 、 安 全 删除 、 可 信 路 径 、TCM 支持 等 多 项 安全 功能 ， 提 供 可 持续 性 的 安 
全 保障 ; 兼容 主流 的 软 硬 件 ， 为 用 户 提供 全 方位 的 操作 系统 和 应 用 安全 保护 ， 防 止 关 键 数 据 被 
算 改 、 被 窃取 ， 系 统 免 受 攻击 ， 保 障 关 键 应 用 安全 、 可 控 和 稳定 地 对 外 提供 服务 。 


3. 中 标 麒 蚀 可 信 操 作 系 统 


中 标 麒 麟 可 信 操 作 系统 结合 可 信 计 算 技术 和 操作 系统 安全 技术 ,通过 信任 链 的 建立 及 传递 
实现 对 平台 软 硬 件 的 完整 性 度量 。 中 标 麒麟 可 信 操 作 系统 的 主要 功能 如 下 

。 提供 基于 三 权 分 立 机 制 的 多 项 安全 功能 (身份 鉴别 、 访 问 控制 、 数 据 保护 、 安 全 标记 、 
可 信 路 径 、 安 全 审计 等 ) 和 统一 的 安全 控制 中 心 。 

。 支持 国内 外 可 信 计 算 规 范 (TCM/TPCM、TPM2.0) 。 

。 支持 国家 密码 管理 部 门 发 布 的 SM2、SM3、SM4 等 国 密 算法 ; 兼容 主流 的 软 硬 件 和 自 
主 CPU 平台 。 

。 提供 可 持续 性 的 安全 保障 ， 防 止 软 硬 件 被 算 改 和 信息 被 窃取 ， 系 统 免 受 攻击 。 


19.5 ”本 章 小 结 


本 章 首 先 阔 述 了 操作 系统 安全 的 概念 及 相关 安全 需求 、 安 全 机 制 、 安 全 技术 ;然后 分 析 了 
Windows 操作 系统 .UNIX/Linux 操作 系统 面临 的 安全 问题 ,并 分 别 给 出 了 Windows、UNIX/Linux 
操作 系统 的 安全 增强 方法 以 及 基本 操作 流程 ， 最 后 ， 介 绍 了 国产 操作 系统 的 发 展 状况 及 安全 增 
强 措施 。 
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20.1 数据 库 安全 概况 


本 节 主 要 阐述 数据 库 系统 安全 的 概念 ， 分 析 数据 库 的 安全 威胁 和 安全 隐患 ， 给 出 数据 库 党 
见 的 安全 需求 。 


20.1.1 数据库 安 全 概念 


数据 库 是 网 络 信息 系统 的 基础 性 软件 , 承载 着 各 种 各 样 的 数据 , 成 为 应 用 系统 的 支撑 平台 。 
国外 主流 的 数据 库 系统 有 MS SQL 、MySQL、Oracle、DB2 等 ， 国 产 数据 库 系统 主要 有 人 大 金 
仓 、 达 梦 等 。 数 据 库 安全 是 指数 据 库 的 机 密 性 、 完 整 性 、 可 用 性 能 够 得 到 保障 ， 其 主要 涉及 数 
据 库 管理 安全 、 数 据 安全 、 数 据 库 应 用 安全 以 及 数据 库 运 行 安全 。 目 前 ， 许 多 关键 信息 基础 设 
施 基于 数据 库 系统 ， 如 国家 的 人 口 基础 信息 库 、 法 人 单位 基础 信息 库 、 自 然 资 源 和 空间 地 理 基 
础 信息 库 、 宏 观 经 济 数据 库 等 基础 性 数据 库 都 与 数据 库 安全 紧密 相关 ， 数 据 库 安全 运行 及 数据 
安全 可 直接 影响 国家 安全 、 社 会 安全 和 经 济 安全 。 对 于 公司 企业 来 说 ， 客 户 数据 的 丢失 导致 品 
牌 的 损害 、 竞 争 中 处 于 劣势 以 及 法 律 责任 。 随 着 数据 库 应 用 的 普及 和 数据 价值 的 凸显 ， 数 据 库 
系统 安全 风险 日 益 增加 ， 有 关 数 据 库 的 网 络 安全 事件 时 有 出 现 ， 加 强 数据 库 安全 管理 和 保护 成 
为 网 络 安全 的 重要 工作 之 一 。 


20.1.2 数据库 安 全 威胁 


数据 库 所 处 的 环境 日 益 开 放 ， 所 面临 的 数据 库 安全 威胁 日 益 增多 ， 主 要 阐述 如 下 : 

(1) 授权 的 误 用 (Misuses of Authority) 。 合 法 用 户 越权 获得 他 们 不 应 该 获得 的 资源 ， 窃 
取 程 序 或 存储 介质 ， 修 改 或 破坏 数据 。 授 权 用 户 将 自身 的 访问 特权 不 适当 地 授予 其 他 用 户 ， 导 
致 系统 安全 策略 受到 威胁 ， 使 用 户 数据 泄露 。 

(2) 逻辑 推 煌 和 汇聚 (Logical Inference and Aggregation) 。 利 用 逻辑 推理 ， 把 不 太 敏 感 的 
数据 结合 起 来 可 以 推断 出 敏感 信息 。 进 行 逻辑 推断 也 可 能 要 用 到 某 些 数据 库 系 统 以 外 的 知识 。 
与 逻辑 推断 紧密 相关 的 是 数据 汇聚 安全 问题 ， 即 个 别 的 数据 项 是 不 敏感 的 ， 但 是 当 足 够 多 的 个 
别 数 据 值 收集 在 一 起 时 ， 就 成 为 敏感 的 数据 集 。 

(3) 伪装 (Masquerade) 。 攻 击 者 假冒 用 户 身份 获取 数据 库 系 统 的 访问 权限 。 

(4) 旁 路 控制 (Bypassing Controls) 。 在 数据 库 设置 后 门 ， 绕 过 数据 库 系 统 的 安全 访问 控 
制 机 制 。 

(5) 隐蔽 信道 (Covert Channels) 。 通 常 储 存在 数据 库 中 的 数据 经 由 合法 的 数据 信道 被 取 
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出 。 与 正常 的 合法 信道 相反 ， 隐 蔽 信道 利用 非 正常 的 通信 途径 传输 数据 以 躲避 数据 库 安 全 机 制 
的 控制 ， 如 共享 内 存 、 临 时 文件 。 

(6) SQL 注入 攻击 〈SQL Injection) 。 攻 击 者 利用 数据 库 应 用 程序 的 输入 未 进行 安全 检查 
的 漏洞 ， 欺 骗 数 据 库 服务 器 执行 恶意 的 SQL 命令 。SQL 注入 攻击 常常 导致 数据 库 信息 泄露 ， 
甚至 会 造成 数据 系统 的 失控 。 

(7) 数据 库 口令 密码 破解 。 利 用 口令 字典 或 手动 猜测 数据 库 用 户 密码 ， 以 达到 非 授权 访问 
数据 库 系 统 的 目的 。 互 联网 常见 的 黑客 攻击 技术 手段 有 “ 撞 库 ”， 其 技术 原理 就 是 通过 收集 互 
联网 已 泄露 的 用 户 + 口 令 密码 信息 ， 生 成 对 应 的 字典 表 ， 尝 试 批量 登录 其 他 网 站 后 ， 得 到 一 系 
列 可 以 登录 的 用 户 。 

(8) 硬件 及 介质 攻击 。 对 数据 库 系 统 相 关 的 设备 和 存储 介质 的 物理 攻击 。 


20.1.3 数据库 安全 隐患 


1. 数据 库 用 户 账号 和 密码 隐患 


虽然 多 数 数据 库 提供 基本 安全 功能 ， 但 是 没有 机 制 来 限制 用 户 必须 选择 健壮 的 密码 。 多 数 
数据 库 系 统 有 公开 的 默认 账号 和 默认 密码 。 例 如，Oracle 系统 有 超过 10 个 特殊 的 默认 用 户 账号 
和 密码 ， 并 且 有 特定 的 密码 来 管理 一 些 数据 库 操 作 ， 如 数据 库 的 启动 、 控 制 网 络 监听 进程 和 远 
程 数据 库 登 录 特 权 。 许 多 账号 都 能 给 入 侵 者 完全 访问 数据 库 的 机 会 ， 更 严重 的 是 ， 系 统 密码 有 
些 就 储存 在 操作 系统 中 的 普通 文本 文件 中 。 以 Oracle 数据 库 为 例 ， 其 安全 隐患 如 下 : 

。 ”Oracle 内 部 密码 ， 储 存在 stXXX.cmd 文件 中 ， 其 中 XXX 是 Oracle 系统 ID 和 SID， 
默认 是 “ORCL”。 这 个 密码 用 于 数据 库 启 动 进程 ， 提 供 完全 访问 数据 库 资源 。 这 个 
文件 在 Windows NT 中 需要 设置 权限 。 

。 Oracle 监听 进程 密码 ， 保 存在 文件 “listenerora” (保存 着 所 有 的 Oracle 执行 密码 ) 
中 ,用 于 启动 和 停止 Oracle 的 监听 进程 .这 就 需要 设置 一 个 健壮 的 密码 来 代替 默认 的 ， 
并 且 必 须 对 访问 设置 权限 。 入 侵 者 可 以 通过 这 个 弱点 进行 DoS 攻击 。 

e ”Oracle 的 “orapw” 文 件 权限 控制 ，Oracle 内 部 密码 和 账号 密码 允许 SYSDBA 角色 保 
存在 “orapw” 文 本 文件 中 ， 该 文件 的 访问 权限 应 该 被 限制 。 即 使 加 密 ， 也 能 被 入 侵 者 
暴力 破解 。 


2. 数据 库 系 统 扩展 存储 过 程 隐患 
多 数 数据 库 系统 提供 了 “扩展 存储 过 程 ”的 服务 以 满足 数据 库 管理 ， 但 是 这 也 成 为 数据 库 
系统 的 后 门 。 对 于 Sybase 和 SQL Server 的 账号 “sa”， 入 侵 者 可 以 执行 “扩展 存储 过 程 ”来 


获得 系统 权限 。 只 要 登录 为 “sa”， 就 可 以 使 用 扩展 存储 过 程 xp_cmdshell， 这 人 允许 Sybase 和 
SQL Server 用 户 执行 操作 系统 命令 。 
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3. 数据 库 系 统 软件 和 应 用 程序 漏洞 


软件 程序 漏洞 造成 数据 安全 机 制 或 OS 安全 机 制 失效 ， 攻 击 者 可 以 获取 远程 访问 权限 。 例 
如 ，“ 黛 蛇 ” (DasherB) 蠕虫 。 该 蠕虫 可 以 针对 微软 MS04-045、MS04-039 漏洞 或 利用 SQL 
溢出 工具 进行 攻击 。 


4. 数据 库 系 统 权 限 分 配 隐 患 


数据 库 管理 员 分 配给 用 户 的 权限 过 大 ， 导 致 用 户 误 删 除数 据 库 系统 数据 ， 或 者 泄露 数据 库 
敏感 数据 。 


S. 数据 库 系 统 用 户 安全 意识 薄弱 


数据 库 系 统 用 户 选 择 弱 口令 或 者 口令 保管 不 当 都 会 给 攻击 者 提供 进入 系统 的 机 会 。 例 如 ， 
在 操作 系统 中 ， 留 下 历史 记录 ， 泄 露 操作 人 员 的 数据 库 密码 。 


6. 网 络 通信 内 容 是 明文 传递 

利用 数据 库 和 应 用 程序 之 间 网 络 通信 内 容 未 经 加 密 的 漏洞 ， 网络 窃 听 者 窍 取 诸 如 应 用 程序 
特定 数据 或 数据 库 登 录 凭 据 等 敏感 数据 。 

7. 数据 库 系 统 安全 机 制 不 健全 


数据 库 提供 的 安全 机 制 不 健全 ， 导 致 安全 策略 无 法 实施 。 一 些 数据 库 不 提供 管理 员 账 号 重 
命名 、 登 录 时 间 限 制 、 账 号 锁定 。 例 如 ，MS SQL Server 不 能 删除 账号 sa， 且 sa 默认 空 口令 。 
黑客 无 须 口令 就 能 直接 登录 并 控制 MS SQL Server。 典 型 的 安全 事件 就 是 Slammer Worm, 该 里 
虫 利 用 MS SQL Server 的 sa 默认 空 口令 漏洞 进行 攻击 。 


20.1.4 数据 库 安 全 需求 


数据 库 系 统 的 安全 目标 是 保护 数据 库 系统 的 安全 运行 及 数据 资源 的 安全 性 。 通 常 来 说 ， 数 
据 库 的 安全 需求 主要 如 下 。 


1. 数据 库 标识 与 鉴别 

标识 与 鉴别 用 于 数据 库 用 户 身份 识别 和 认证 , 用 户 只 有 通过 认证 后 才能 对 数据 库 对 象 进行 
操作 。 

2. 数据 库 访问 控制 


对 数据 资源 及 系统 操作 进行 访问 授权 及 违规 控制 。 数据库 系统 一 般 提供 自主 访问 控制 、 强 
制 访问 控制 、 角 色 访 问 控制 等 多 种 访问 控制 模式 。 
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3. 数据 库 安 全 审计 


数据 库 系 统 提供 安全 审计 机 制 ， 按 照 审计 安全 策略 ， 对 相关 的 数据 库 操作 进行 记录 ， 形 成 
数据 库 审计 文件 。 审 计 记 录 的 主要 信息 包括 审计 的 操作 类 型 、 执 行 操作 的 用 户 标识 、 操 作 的 时 
间 、 客 体 对 象 等 用 户 行为 相关 信息 。 


4. 数据 库 备 份 与 恢复 


数据 库 系统 具有 数据 库 备份 与 恢复 机 制 ， 当 数据 库 系 统 出 现 故 障 时 ， 可 以 实现 对 备份 数据 
的 还 原 以 及 利用 数据 库 日 志 进行 数据 库 恢 复 重建 。 


5. 数据 库 加 密 


为 阻止 直接 利用 操作 系统 工具 窃取 或 算 改 数据 库 文件 内 容 ， 数 据 库 具 有 数据 加 密 机 制 ， 能 
够 对 数据 库 中 的 敏感 数据 进行 加 密 处 理 ， 并 提供 密 钥 管 理 服 务 。 授 权 管 理 员 无 法 对 授权 用 户 加 
密 存储 的 数据 进行 正常 解密 ， 从 而 保证 了 用 户 数据 的 机 密 性 。 通 过 数据 库 加 密 ， 数 据 库 的 备份 
内 容 成 为 密 文 ， 从 而 能 减少 因 备份 介质 失窃 或 丢失 而 造成 的 损失 。 


6. 资源 限制 


资源 限制 防止 授权 用 户 无 限制 地 使 用 数据 库 服 务 器 处 理 器 (CPU) 、 共 享 缓存 、 数 据 库存 
储 介质 等 数据 库 服 务 器 资源 ， 限 制 每 个 授权 用 户 /授权 管理 员 的 并 行 会 话 数 等 功能 。 避 免 数据 库 
系统 遭受 拒绝 服务 攻击 。 


7. 数据 库 安全 加 固 

对 数据 库 系统 进行 安全 漏洞 检查 和 修补 ， 防 止 安全 漏洞 引入 数据 库 系统 。 

8. 数据 库 安全 管理 

数据 库 系统 提供 安全 集中 管理 机 制 ， 实 现 数据 库 的 安全 策略 集中 配置 和 管理 。 
20.2 数据库 安全 机 制 与 实现 技术 

本 节 主 要 介绍 数据 库 的 安全 机 制 以 及 相关 实现 技术 ， 包 括 标 识 和 鉴别 、 访 问 控制 、 安 全 审 
计 、 数 据 加 密 等 。 
20.2.1 数据 库 安 全 机 制 


数据 库 系统 是 一 个 复杂 性 高 的 基础 性 软件 ， 其 安全 机 制 主 要 有 标识 和 鉴别 、 访 问 控制 、 安 全 
审计 、 备 份 与 恢复 、 数 据 加 密 、 资 源 限 制 、 安 全 加 固 、 安 全 管理 等 。 这 些 安全 机 制 用 于 保障 数据 
库 系统 的 安全 运行 、 数 据 资源 安全 以 及 系统 容 灾 备 份 。 其 中 ， 各 安全 机 制 的 功能 如 表 20-1 所 示 。 
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表 20-1 数据 库 安全 机 制 及 功能 


安全 机 制 名 称 安全 功能 

标识 与 鉴别 用 户 属性 定义 、 用 户 -主体 绑 定 、 鉴 别 失败 处 理 、 秘 密 的 验证 、 鉴 别 的 时 机 、 多 重 
鉴别 机 制 设置 等 

访问 控制 会 话 建立 控制 、 系 统 权 限 设置 、 数 据 资源 访问 权限 设置 

安全 审计 审计 数据 产生 、 用 户 身 份 关 联 、 安 全 审计 查阅 、 限 制 审计 查阅 、 可 选 审计 查阅 、 选 
择 审计 事件 

备份 与 恢复 备份 和 恢复 策略 设置 、 备 份 数 据 的 导入 和 导出 

数据 加 密 加 密 算法 参数 设置 、 密 钥 生 成 和 管理 、 数 据 库 加 密 和 解密 操作 

资源 限制 持久 存储 空间 分 配 最 高 配额 、 临 时 存储 空间 分 配 最 高 配额 、 特 定 事务 持续 使 用 时 间 
或 未 使 用 时 间 限 制 

安全 加 固 漏洞 修补 、 弱 口令 限制 

安全 管理 安全 角色 配置 、 安 全 功能 管理 


20.2.2 数据库 加 密 


数据 库 加 密 是 指 对 数据 库存 储 或 传输 的 数据 进行 加 密 处 理 ， 以 密 文 形 式 存 储 或 传输 ， 防 目 
数据 泄密 ， 保 护 敏 感 数据 的 安全 性 。 数 据 库 加 密 方式 主要 分 为 两 种 类 型 : 一 是 与 数据 库 网 上 传 
输 的 数据 ， 通 常 利用 SSL 协议 来 实现 ; 二 是 数据 库存 储 的 数据 ， 通 过 数据 库存 储 加 密 来 实现 。 
按照 加 密 组 件 与 数据 库 管理 系统 的 关系 ， 数 据 库存 储 加 密 可 以 分 成 两 种 加 密 方式 ， 库 内 加 密 和 


库 外 加 密 。 库 内 加 密 是 指 在 DBMS 内 部 实现 支持 加 密 的 模块 ， 如 图 20-1 所 示 。 
加 密 要 求 定义 
”而 要 组 全 
(软件 或 硬件 ) 


图 20-1 数据 库 库 内 加 密 示意 图 


库 外 加 密 指 在 DBMS 范围 之 外 ， 由 专门 的 加 密 部 件 完成 加 密 / 解 密 操作 ， 如 图 20-2 所 示 。 

数据 库存 储 加 密 的 常用 技术 方法 有 基于 文件 的 数据 库 加 密 技术 、 基 于 记录 的 数据 库 加 密 技 
术 、 基 于 字段 的 数据 库 加 密 技术 。 其 中 ， 基 于 文件 的 数据 库 加 密 技术 将 数据 库 文件 作为 整体 ， 
对 整个 数据 库 文件 进行 加 密 ， 形 成 密 文 来 保证 数据 的 机 密 性 。 基 于 记录 的 数据 库 加 密 技术 将 数 
据 库 的 每 一 个 记录 加 密 成 密 文 并 存放 于 数据 库 文件 中 。 基 于 字段 的 数据 库 加 密 技术 加 密 数据 库 
的 字段 ， 以 不 同 记录 的 不 同 字段 为 基本 加 密 单元 进行 加 密 。 


第 20 章 数据 库 系统 安全 “ 国 433 荐 


加 密 要 求 定义 
| + 
加 密 组 件 数据 库 应 用 系统 
| 4 
数据 库 系统 


20-2 ”数据 库 库 外 加 密 示意 图 


20.2.3 ”数据 库 防火 墙 


数据 库 防火 墙 如 图 20-3 所 示 ， 其 通过 SQL 协议 分 析 ， 根 据 预 定义 的 禁止 和 许可 策略 让 合 
法 的 SQL 操作 通过 ， 阻 断 非 法 违规 操作 ， 形 成 数据 库 的 外 围 防御 圈 ， 实 现 SQL 危险 操作 的 主 
动 预防 、 实 时 审计 。 面 对 来 自 外 部 的 入 侵 行为 ， 数据库 防火 墙 提供 SQL 注入 禁止 和 数据 库 虚 拟 
补丁 包 功 能 。 通 过 虚拟 补丁 包 ， 数 据 库 系 统 不 用 升级 、 打 补丁 ， 即 可 完成 对 主要 数据 库 漏洞 的 


X-Secure 


网 络 应 用 程序 -DBFirewall 
oy bs ee 莉 
络 服务 器 数据 库 防火 墙 数据 库 服务 器 


20-3 ”数据 库 防火 墙 示 意图 


数据 库 防火 墙 的 安全 作用 主要 如 下 : 

《1) 屏蔽 直接 访问 数据 库 的 通道 。 数据库 防火 墙 部 署 介 于 数据 库 服务 器 和 应 用 服务 器 之 间 ， 
屏蔽 直接 访问 的 通道 ， 防 止 数据 库 隐 通道 对 数据 库 的 攻击 。 

(2) 增强 认证 。 应 用 程序 对 数据 库 的 访问 ， 必 须 经 过 数据 库 防火 墙 和 数据 库 自身 两 层 身份 
认证 。 

(3) 攻击 检测 。 可 实时 检测 用 户 对 数据 库 进 行 的 SQL 注入 和 缓冲 区 溢出 攻击 ， 并 报警 或 
者 阻止 攻击 行为 ， 记 录 攻 击 操作 发 生 的 时 间 、 来 源 一 、 登 录 数 据 库 的 用 户 名 、 攻 击 代码 等 详细 
信息 。 

(4) 防止 漏洞 利用 。 捕 获 和 阻 断 数据 库 漏洞 攻击 行为 ， 如 利用 SQL 注入 特征 库 可 以 捕获 
和 阻 断 数据 库 SQL 注入 行为 。 实 现 虚拟 化 补丁 ， 保 护 有 漏洞 的 数据 库 系 统 。 

(5) 防止 内 部 高 危 操 作 。 系 统 维护 人 员 、 外 包 人 员 、 开 发 人 员 等 具有 直接 访问 数据 库 的 权 
限 ， 可 能 有 意 无 意 地 进行 高 危 操 作对 数据 造成 破坏 。 通 过 数据 库 防 火 墙 可 以 限定 更 新 和 删除 影 
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响 行 、 限 定 无 Where 的 更 新 和 删除 操作 、 限 定 drop、truncate 等 高 危 操作 避免 大 规模 损失 。 
(6) 防止 敏感 数据 泄露 。 黑 客 、 开 发 人 员 可 以 通过 应 用 批量 下 载 敏感 数据 ， 内 部 维护 人 员 
可 以 远程 或 本 地 批量 导出 敏感 数据 。 通 过 数据 库 防 火 墙 可 以 限定 数据 查询 和 下 载 数 量 、 限 定 敏 
感 数据 访问 的 用 户 、 地 点 和 时 间 。 
(7) 数据 库 安全 审计 。 对 数据 库 服务 器 的 访问 情况 进行 独立 审计 ， 审 计 信息 可 以 包括 用 户 
名 、 程 序 名 、 卫 地 址 、 请 求 的 数据 库 、 连 接 建立 的 时 间 、 连 接 断 开 的 时 间 、 通 信 量 大 小 、 执 行 
结果 等 信息 。 


20.2.4 数据 库 脱 敏 


数据 库 脱 敏 是 指 利用 数据 脱 敏 技术 将 数据 库 中 的 数据 进行 变换 处 理 ,在 保持 数据 按 需 使 用 
目标 的 同时 ， 又 能 避免 敏感 数据 外 泄 。 数 据 脱 敏 指 按照 脱 敏 规则 对 敏感 数据 进行 的 变换 ， 去 除 
标识 数据 ， 数 据 实现 匿名 化 处 理 ， 从 而 实现 敏感 数据 的 保护 。 目 前 ， 常 见 的 数据 脱 敏 技术 方法 
有 屏蔽 、 变 形 、 蔡 换 、 随 机 、 加 密 ， 使 得 敏感 数据 不 泄露 给 非 授 权 用 户 或 系统 。 例 如 ， 假 设 物 
品 标识 数据 如 下 : 

4346 6454 0020 5379 

4493 9238 7315 5787 

4297 8296 7496 8724 

通过 替换 脱 敏 后 ， 物 品 标识 数据 变 成 以 下 形式 : 

4346 XXXX XXXX 5379 

4493 XXXX XXXX 5787 

4297 XXXX XXXX 8724 


20.2.5 数据库 漏 洞 扫描 


数据 库 漏洞 扫描 模拟 黑客 使 用 的 漏洞 发 现 技术 ， 对 目标 数据 库 的 安全 性 尝试 进行 安全 探测 
分 析 ， 收 集 数据 库 漏洞 的 详细 信息 ， 分 析 数 据 库 系统 的 不 安全 配置 ， 检 查 有 弱 口 令 的 数据 库 用 
户 。 通 过 数据 库 漏 洞 扫描 ， 跟 踪 监控 数据 库 安全 危险 状态 变化 ， 建 立 数据 库 安 全 基线 ， 防 止 数 
据 库 安全 危险 恶化 。 数据库 漏洞 扫描 的 商业 产品 有 NGSSQuirrel for Oracle、xSecure-DBScan 等 。 
其 中 ，NGSSQuirrel for Oracle 可 以 检查 几 千 个 可 能 存在 的 安全 威胁 、 补 丁 状况 、 对 象 和 权限 信 
息 、 登 录 和 密码 机 制 、 存 储 过 程 以 及 启动 过 程 。NGSSQuirrel 提供 强大 的 密码 审计 功能 ， 包 括 
字典 和 暴力 破解 模式 。 


20.3 Oracle 数据 库 安 全 分 析 与 防护 


本 节 主 要 介绍 Oracle 数据 库 的 概况 ， 分 析 了 其 安全 机 制 ， 给 出 Oracle 数据 库 的 增强 技术 
方法 和 最 佳 实践 。 
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20.3.1 Oracle 概况 


Oracle 公司 于 1979 年 首先 推出 基于 a 可 在 多 种 硬件 平台 上 
运行 ， 支 持 多 种 操作 系统 。Oracle 遵守 数据 存 取 语 言 、 操 作 系 统 、 用 户 接口 和 网 络 通信 协议 的 
工业 标准 。 目 前 ，Oracle 数据 库 系统 广泛 应 用 在 国内 关键 信息 基础 设施 中 ， 因此 Oracle 数据 库 
的 安全 非常 重要 。 


20.3.2 Oracle 数据 库 安全 分 析 


Oracle 数据 库 提供 认证 、 访 问 控制 、 特 权 管理 、 透 明 加 密 等 多 种 安全 机 制 和 技术 。 

(1) 用 户 认证 。Oracle 数据 库 的 认证 机 制 多 样 ， 除 了 Oracle 数据 库 认 证 外 ， 还 集成 支持 
操作 系统 认证 、 网 络 认证 、 多 级 认证 、SSL 认证 , Oracle 数据 库 的 认证 方式 采用 “用 户 名 + 口令 ”， 
具有 口令 加 密 、 账 户 锁定 、 口 令 生命 期 和 过 期 、 口 令 复杂 度 验证 等 安全 功能 。 对 于 数据 库 管 理 
员 认证 ，Oracle 数据 库 要 求 进行 特别 认证 ， 支 持 强 认证 、 操 作 系 统 认 证 、 口 令 文件 认证 。 网 络 
认证 支持 第 三 方 认证 、PKI 认证 、 远 程 认 证 等 。 

(2) 访问 控制 。Oracle 数据 库 内 部 集成 网 络 访问 控制 和 数据 对 象 授权 控制 。 比 如 ， 可 以 配 
置 Oracle 的 限制 访问 数据 库 机 器 的 下 地 址 。Oracle 数据 库 提供 细 粒 度 访问 控制 (Fine-Grained 
Access Control) ， 如 针对 select、insert、update、delete 等 操作 ， 可 以 使 用 不 同 的 策略 。 

(3) 保险 库 。Oracle 数据 库 建立 数据 库 保 险 库 (Database Vault，DV) 机 制 ， 该 机 制 用 于 
保护 敏感 数据 ， 具 有 防止 数据 系统 未 授权 变更 、 多 因素 可 信 授 权 、 职 责 隔离 、 最 小 化 特权 的 
功能 。DV 机 制 通过 设置 安全 域 (Realm) 和 命令 规则 〈Command Rules) 对 特权 进行 控制 。 
如 图 20-4 所 示 ， 数 据 管理 员 (DBA) 禁止 操作 HR 安全 域 。 


select* from HR.emp 一 


20-4 ”Oracle 数据 库 DV 应 用 示意 图 


DV 机 制 的 命令 控制 可 阻止 未 授权 命令 操作 ， 如 drop table、alter system。 
(4) 安全 审计 和 数据 库 防 火 墙 。Oracle 数据 库 具 有 对 其 内 部 所 有 发 生 的 活动 进行 审计 的 能 
力 ， 如 图 20-5 所 示 。Oracle 数据 库 可 审计 的 活动 有 3 种 类 型 : 登录 尝试 、 数 据 库 活动 和 对 象 存 
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取 。Oracle 数据 库 防 火 墙 提供 了 SQL 语法 分 析 引 擎 ， 检 查 进入 数据 库 的 SQL 语句 ， 精 确 地 确 
定 是 否 允 许 、 记 录 、 警 告 、 蔡 换 或 阻止 SQL。Oracle 数据 防火 墙 支持 白 名 单 、 黑 名 单 和 基于 例 
外 名 单 的 策略 。 白 名 单 就 是 数据 库 防火 墙 认可 的 SQL 语句 。 黑 名 单 是 指数 据 库 不 允许 含有 特定 
用 户 、IP 地 址 或 特定 类 型 的 SQL 语句 。 基 于 例外 名 单 的 策略 则 提供 安全 策略 设置 的 灵活 性 ， 

可 以 覆盖 白 名 单 或 黑 名 单 策略 ， 例 外 安全 策略 可 以 基于 SQL 类 别 、 时 间 、 应 用 、 用 户 和 卫 地 


址 等 属性 来 实施 。 
ee 数据 库 防火 墙 
a O08 
OT ee ORACLE 计谋 we 
昌国 ------------ 里 Microsoft SYBASE 
审计 数据 
报警 
电 SRACLE IBM 
报告 el 仆 一 @ 
审计 服务 器 操作 系统 


图 20-5 Oracle 安全 审计 和 数据 库 防火 墙 机 制 示意 图 


(5) 高 级 安全 功能 。 Oracle 数据 库 提供 透明 数据 加 密 〈Transparent Data Encryption) 和 数 
据 屏蔽 〈Data Masking) 机 制 ， 以 保护 数据 安全 ， 如 图 20-6 所 示 。 


数据 屏蔽 控制 透明 数据 加 密 

授权 S 1 

显示 [a 2 Sensitive Data 此 [这 并 
ge» 


4012-8888-8888-1881 5 
屏蔽 - EE 5454-5454-5454-5454 上 [au 
显示 COKINX-IO0K- 188 5111-1111-1111-1118 国 


20-6 ”Oracle 数据 库 提供 透明 数据 加 密 和 数据 屏蔽 机 制 示意 图 
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Oracle 数据 库 系 统 的 透明 数据 加 密 可 以 阻止 攻击 者 绕 过 数据 库 ， 是 为 了 避免 攻击 者 强制 从 
存储 设备 上 读 取 敏感 信息 而 提出 的 安全 技术 方案 ， 如 图 20-7 所 示 。 


透明 数据 加 密 
~ 直接 访问 表 空间 文件 内 容 


A 通过 加 密 阻 止 示 授权 访问 数据 


表 空 间 文 件 呆 作 系 
甲骨 文 数据 库 (financials.dbf) 问候 雪 鸣 有 
管理 秘 钥 


20-7 ”Oracle 数据 库 强 制 读 取 数 据 攻击 示意 图 


20.3.3 ”Oracle 安全 最 佳 实践 


(1) 增强 Oracle 数据 库 服务 器 的 操作 系统 安全 。 最 小 化 系统 服务 ， 安 装 最 新 补丁 ， 关 闭 不 
需要 的 网 络 通信 端口 。 

(2) 最 小 化 安装 Oracle， 删 除 不 必要 的 组 件 。 采 用 满足 需求 的 最 小 安装 ， 随 着 版 本 的 不 断 
升级 ，Oracle 的 功能 也 越 来 越 多 ， 整 个 系统 越 来 越 复杂 ， 因 此 安全 威胁 也 越 来 越 大 。 根 据 需求 
只 安装 所 需 内 容 ， 可 以 降低 数据 库 安全 风险 。 

(3) 安装 最 新 的 安全 补丁 。Oracle 的 安全 漏洞 还 是 非常 多 的 ， 一 个 比较 安全 的 办 法 是 时 刻 
关注 Oracle 的 安全 公告 ， 并 及 时 安装 安全 补丁 。 

(4) 删除 或 修改 默认 的 用 户 名 和 密码 。 Oracle 的 默认 安装 会 建立 很 多 默认 的 用 户 名 和 密码 ， 
而 大 部 分 的 数据 库 管 理 员 都 不 清楚 到 底 有 多 少数 据 库 用 户 ， 从 而 留 下 了 很 大 的 安全 隐患 。 

(5) 启用 认证 机 制 。Oracle 支持 多 种 认证 方式 ， 为 了 安全 ， 必 须 启 用 认证 机 制 ， 防 止 非法 
用 户 访问 数据 库 。 

(6) 设置 好 的 口令 密码 策略 。 在 Oracle 中 ， 可 以 通过 修改 用 户 概要 文件 来 设置 密码 的 安全 
策略 ， 可 以 自 定义 密码 的 复杂 度 。 其 中 ， 概 要 文件 设置 了 多 项 密码 安全 策略 ， 如 最 大 错误 登录 
次 数 、 口 令 失 效 锁定 时 间 、 口 令 有 效 时 间 、 口 令 复 杂 检查 等 。 

(7) 设置 最 小 化 权限 。 采 用 最 小 授权 原则 ， 给 用 户 尽量 少 的 权限 。 撤 销 Public 组 的 一 些 不 
必要 的 权限 ， 严 格 限制 以 下 程序 包 的 权限 : 

。 UTL FILE: 该 程序 包 允 许 Oracle 用 户 读 取 服 务 器 上 的 文件 。 如 果 设 置 错误 ， 可 能 会 

得 到 任何 文件 。 

。 UTL HTTP: 该 程序 包 人 允许 Oracle 用 户 通 过 HTTP 访问 外 部 资源 ， 包 括 恶意 的 Web 

代码 和 文件 。 

。 UTL TCP: 该 程序 包 人 允许 Oracle 通过 TCP 建立 连接 ， 从 而 从 网 络 上 得 到 可 执行 文件 。 

。 UTL _SMTP: 该 程序 包 人 允许 Oracle 通过 SMTP 方式 进行 通信 ， 从 而 转发 关键 文件 。 
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(8) 限制 连接 Oracle 的 卫 地址 。 由 于 Oracle 的 TNS 监听 器 有 许多 安全 漏洞 ， 其 中 的 一 些 
漏洞 甚至 能 让 入 侵 者 得 到 操作 系统 的 超级 用 户 权 限 ， 或 者 能 修改 数据 库 中 的 数据 。 因 此 ， 在 打 
补丁 的 同时 限制 连接 的 卫 ， 避 免 攻击 者 的 耳 访问 到 数据 库 。 

(9) 传输 加 密 。Oracle 采用 的 是 TNS 协议 传输 数据 ,在 传输 过 程 中 不 能 保证 其 中 的 数据 不 
被 窃听 乃至 修改 ， 因 此 最 好 对 传输 进行 加 密 。 例 如 ， 采 用 SSL 加 密 机 制 。 

(10) 启用 Oracle 审计 。 记 录 所 有 的 用 户 失败 访问 和 分 析 安 全 事件 日 志 。 加 强 数据 库 日 志 
的 记录 ， 特 别 是 审核 数据 库 登 录 “ 失 败 ” 事 件 ， 定 期 查看 Oracle 日 志 ， 检查 是 否 有 可 疑 的 登录 
事件 发 生 。 

(11) 定期 查看 Oracle 漏洞 发 布 信息 ， 及 时 修补 漏洞 。Oracle 漏洞 公布 网 址 有 Oracle 厂商 
自身 、 应 急 响 应 部 门 、 安 全 专业 服务 公司 等 。 

(12) 实施 Oracle 灾 备 计划 。 监 测 Oracle 的 安全 运行 ， 定 期 对 数据 库 数据 进行 备份 。 针 对 
Oracle 的 可 能 安全 事件 ， 制 定安 全 应 急 预 案 。 


20.3.4 ”Oracle 漏洞 修补 


Oracle 数据 库 的 安全 漏洞 近 几 年 相继 出 现 。Oracle 公司 建立 关键 补丁 更 新 包 (Critical Patch 
Updates) 服务， 简称 CPU。CPU 是 有 关 Oracle 产品 的 安全 补丁 修补 集 ， 如 表 20-2 所 示 。 


表 20-2 Oracle 数据 库 关键 补丁 更 新 包 


关键 补丁 更 新 最 新 版 本 /日 期 
Critical Patch Update - April 2020 Rev7, 18 May 2020 


Critical Patch Update - January 2020 Rev 7, 20 April 2020 
Critical Patch Update - October 2019 Rev 3, 22 January 2020 


CPU 根据 CVSS (Common Vulnerability Scoring System) 评估 Oracle 的 安全 漏洞 风险 级 
别 ， 安 全 漏洞 记分 满分 为 10 分 ， 一 般 得 分 越 高 ， 风 险 越 大 。Oracle 数据 库 的 安全 漏洞 风险 矩 


阵 如 表 20-3 所 示 。 
表 20-3 Oracle 数据 库 的 安全 漏洞 风险 矩阵 表 
CVE 编 号 特权 要 求 CVSS30 | 。 影响 版 本 
得 分 

创建 会 话 、 人 

CVE-2020-2737 执行 目录 64 A ， 
角色 特权 18c，19c 

11.2.0.4， 

CVE-2019-2853 | Oracle Text | 创建 会 话 7.3 人 
18c，19c 
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20.4 ”MS SQL 数据 库 安 全 分 析 与 防护 


本 节 主 要 介绍 MS SQL 数据 库 的 概况 , 分 析 其 安全 机 制 , 给 出 MS SQL 数据 库 的 增强 技术 
方法 和 最 佳 实践。 


20.4.1 MS SQL Server 概况 


JMicrosoft SQL Server 起 源 于 Sybase, 是 基于 Windows NT 结构 的 大 型 关系 型 数据 库 管 理 系 
统 ， 是 业界 领先 的 数据 库 管 理 系统 之 一 ， 应 用 非常 广泛 ， 是 微软 的 核心 产品 组 成 部 分 。 


20.4.2 ”MS SQL 安全 分 析 


MS SQL Server 提供 的 安全 机 制 主要 包括 如 下 几 个 方面 : 

(1) 用 户 身份 认证 。MS SQL Server 支持 Windows 认证 (Windows Authentication) 和 混合 
认证 两 种 方式 。Windows 认证 是 默认 认证 方式 ，SQL Server 信任 特定 的 Windows 用 户 账户 和 
组 账户 ， 可 以 直接 登录 访问 SQL Server。 

(2) 访问 控制 。SQL Server 采用 基于 角色 的 访问 控制 机 制 。 其 中 ，SQL Server 的 角色 分 为 
三 种 类 型 ， 即 固定 服务 器 角色 (Fixed Server Roles) 、 固 定数 据 库 角色 〈Fixed Database Roles) 
和 应 用 角色 (Application Roles) 。 每 个 角色 赋予 一 定 的 权限 。 

(3) 数据 库 加 密 。SQL 保密 Server 提供 Transact-SQL 函数 、 非 对 称 密 钥 、 对 称 密 钥 、 证 
书 、 透 明 数 据 加 密 机 制 。MS SQL Server 2008 提供 透明 数据 库 加 密 服务 。 透 明 加 密使 用 不 同 密 
钥 对 不 同 敏感 数据 进行 加 密 处 理 ， 其 中 密 钥 类 型 有 服务 主 密 钥 、 数 据 库 主 密 钥 、 数 据 库 密 钥 ， 
各 密 钥 的 使 用 如 图 20-8 所 示 。 


Windows: 统 层 
数据 保护 接口 API(DBAPT) 


DBASI 要 军服 
i 
SQL 服务 器 实例 层 服务 主 密 钥 
服务 主 密 钥 加 
密 数 据 库 主 密 钥 
数据 库 层 数据 库 主 密 钥 


数据 库 主 密 钥 
v 创建 证 书 


证 书 加 密 数 据 库 

v 加 秘密 钥 

[用 户 数据 库 层 数据 库 加 密 密 铀 ] 
整个 用 户 数据 库 
使 用 数据 库 加 密 密 钥 


20-8 ”MS SQL Server 透明 加 密 体 系 结构 示意 图 
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(4) 备份 、 恢 复 机 制 。 任 何 系 统 不 可 能 达到 数据 不 丢失 或 损坏 ， 数 据 库 系统 提供 备份 和 恢 
复 机 制 。 备 份 机 制 主要 支持 静态 备份 和 动态 备份 。SQL Server 有 四 种 备份 方案 : 文件 和 文件 组 
备份 、 事 务 日 志 备份 、 完 全 备份 、 差 异 备份 。 而 恢复 机 制 有 三 种 模型 ; 简单 恢复 、 完 全 恢复 和 
批量 日 志 记录 恢复 。SQL Server 系统 可 运用 Transact-SQL 语句 或 企业 管理 器 实现 数据 的 恢复 或 
备份 操作 。 

(5) 安全 审计 。 作 为 美国 政府 C2 级 认证 的 要 求 ，MS SQL Server 内 置 了 审计 机 制 ， 这 个 机 
制 包 含 了 多 个 组 件 ， 综 合 利用 这 些 组 件 将 可 以 审计 所 有 的 权限 使 用 。 


20.4.3 ”MS SQL Server 安全 最 佳 实践 


1. 设置 好 的 数据 库 密码 安全 策略 


数据 库 账号 的 密码 设置 简单 或 为 空 对 于 数据 库 系统 的 安全 威胁 极 大 ， 例 如 MS SQL 
Slammer 就 是 利用 管理 员 sa 密码 为 空 进行 攻击 。 


2. 加 强 扩展 存储 过 程 管 理 ， 删 除 不 必要 的 存储 过 程 


SQL Server 的 系统 存储 过 程 容易 被 利用 来 提升 权限 或 进行 破坏 .为 保护 SQL Server 的 安全 ， 
删除 不 必要 的 存储 过 程 。 例 如 ，xp_cmdshell 是 数据 库 留 给 操作 系统 的 。 


3. 网 上 数据 加 密 传输 


SQL Server 使 用 的 Tabular Data Stream 协议 用 明文 传输 数据 ， 容 易 导致 数据 库 敏 感 数据 网 
上 泄露 ， 建 议 使 用 SSL 协议 。 


4. 修改 数据 库 默 认 的 TCP/IP 端口 号 


更 改 SQL Server 原 默认 的 1433 端口 ， 减 少 攻击 者 获取 数据 库 端口 信息 。 在 实例 属性 中 选 
择 网 络 配 置 中 的 TCP/IP 协议 的 属性 ， 将 TCP/IP 使 用 的 默认 端口 变 为 其 他 端口 。 


5. 对 SQL 数据 库 访问 的 网 络 连 接 进 行 IP 限制 


通过 防火 墙 或 Windows 操作 系统 的 安全 功能 对 SQL 数据 库 人 P 连接 进行 限制 , 只 保证 授权 
的 下 能 够 访问 ， 降 低 数据 库 的 网 络 安全 威胁 来 源 。 


6. 启用 SQL Server 日 志 审 计 ， 记 录 所 有 的 用 户 访问 和 分 析 安全 事件 日 志 


加 强 数据 库 日 志 的 记录 ， 特 别 是 审核 数据 库 登 录 事件 的 “失败 和 成 功 ”， 定 期 查看 SQL 
Server 日 志 ， 检 查 是 否 有 可 疑 的 登录 事件 发 生 。 


7. 定期 查看 MS SQL Server 漏洞 发 布 信息 ， 及 时 修补 漏洞 
及 时 获取 MS SQL Server 的 安全 漏洞 信息 ， 常 见 的 安全 漏洞 网 址 主要 包括 Microsoft 厂商 
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自身 、 应 急 响 应 机 构 、 安 全 厂商 等 。 及 时 安装 最 新 的 Windows 补丁 包 和 SQL Server Service 
Pack， 减 少 攻击 者 利用 已 知 安全 漏洞 的 机 会 。 


8. 保证 MS SQL Server 的 操作 系统 安全 

安全 增强 MS SQL Server 的 操作 系统 ， 降 低 来 自 操作 系统 的 安全 威胁 。 

9. MS SQL Server 安全 检测 ， 制 定安 全 容 灾 备份 计划 

监测 MS SQL Server 的 安全 运行 ， 定 期 将 数据 库 数据 进行 备份 。 
20.4.4 ”MS SQL Server 漏洞 修补 


已 公布 的 MS SQL Server 的 CVE 安全 漏洞 主要 是 拒绝 服务 、 代 码 执行 、 溢 出 、 特 权 获 取 。 
最 严重 的 安全 漏洞 是 CVE-2002-0721, 按照 CVSS 漏洞 计 分 , 该 漏洞 得 分 为 10 分 .Microsoft SQL 
Server 7.0 和 SQL Server 2000 安装 了 与 帮助 功能 相关 的 扩展 存储 过 程 ， 该 过 程 允许 非特 权 用 户 
或 远程 攻击 者 通过 xp_execresultset、xp_printstatements、xp_displayparamstmt 以 管理 员 权限 运行 。 
针对 安全 漏洞 问题 处 置 ， 微 软 公司 设立 了 微软 安全 响应 中 心 ”(Microsoft Security Response 
Center，MSRC) 。MSRC 每 月 发 布 安全 公告 以 解决 安全 漏洞 问题 ， 并 将 公布 漏洞 利用 指数 ， 
该 指数 分 成 四 级 ， 即 0- 检 测 到 被 利用 、1- 可 能 被 利用 、2- 不 太 可 能 被 利用 和 3- 不 可 能 被 利用 。 


20.5 MySQL 数据 库 安 全 分 析 与 防护 


本 节 主 要 介绍 MySQL 数据 库 的 概况 ， 分 析 其 安全 机 制 ， 给 出 MySQL 数据 库 的 增强 技术 
方法 和 最 佳 实践 。 
20.5.1 ”MySQL 概况 


MySQL 是 网 络 化 的 关系 型 数据 库 系统 ， 具 有 功能 强 、 使 用 简便 、 管 理 方便 、 运 行 速度 快 
等 优点 ， 用 户 可 利用 许多 语言 编写 访问 MySQL 数据 库 的 程序 ， 特 别 是 与 PHP、Apache 组 合 ， 
广泛 应 用 在 互联 网 领域 。 


20.5.2 MySQL 安全 分 析 


MySQL 提供 的 安全 机 制 主 要 包括 如 下 内 容 : 

。 ”用 户 身份 认证 。MySQL 支持 用 户 名 /口令 认证 方式 。 

。 访问 授权 。MySQL 具有 5 个 授权 表 : user、db、host、tables_priv 和 columns priv。 通 
过 授权 表 ，MySQL 提供 非常 灵活 的 安全 机 制 。 MySQL 具有 grant 和 revoke 命令 ， 
可 以 用 来 创建 和 删除 用 户 权限 ， 便 于 分 配 用 户 权 限 。MySQL 管理 员 可 以 用 grant 和 
revoke 来 创建 用 户 、 授 权 和 撤 权 、 删 除 用 户 。 


国 442 基 。 信息 安全 工程 师 教程 (第 2 版 ) 


。 ”安全 审计 。MySQL 内 置 了 审计 机 制 ， 可 以 记录 MySQL 的 运行 状况 。 
20.5.3 MySQL 安全 最 佳 实践 


1.。 MySQL 安装 


建立 单独 启动 MySQL 的 用 户 和 组 。 安装 最 新 的 MySQL 软件 包 ， 选择 合适 的 静态 参数 编 
译 MySQL 数据 库 。 


2. 建立 MySQL Chrooting 运行 环境 


形成 “ 沙 箱 ” 保 护 机制 ， 增 强 系统 抗 渗透 能 力 。 
3. 关闭 MySQL 的 远程 连接 


关闭 MySQL 的 默认 监听 端口 3306， 避 免 增加 MySQL 的 远程 攻击 风险 。 由 于 MySQL 本 
地 程序 可 以 通过 mysql.sock 来 连接 , 不 需要 远程 连接 , 且 MySQL 的 备份 通常 使 用 SSH 来 执行 。 


4. 禁止 MySQL 导入 本 地 文件 


禁止 MySQL 中 用 “LOAD DATA LOCAL INFILE” 命 令 。 防范 攻击 者 利用 此 命令 把 本 地 文 
件 读 到 数据 库 中 ， 阻 止 用 户 非法 获取 敏感 信息 。 


S. 修改 MySQL 的 root 用 户 ID 和 密码 


/usr/local/mysql/bin/mysql -u root 
mysql> SET PASSWORD FOR root@localhost=PASSWORD('new password'); 


6. 删除 MySQL 的 默认 用 户 和 db 


删除 MySQL 的 默认 数据 库 test。 除 了 root 用 户外 ， 其 他 的 用 户 都 去 掉 。 
7. 更 改 MySQL 的 root 用 户 名 ， 防 止 口令 暴力 破解 


mysql> update user set user="mydbadmin" where user="root"; 


mysql> flush privileges; 
8. 建立 应 用 程序 独立 使 用 数据 库 和 用 户 账号 


建立 应 用 程序 所 需要 的 所 有 数据 库 和 账号 ， 要 求 这 些 账号 只 能 访问 应 用 程序 用 到 的 数据 
库 , 限制 访问 MySQL 数据 库 和 任何 系统 , 不 能 够 拥有 特权 , 如 FILE、GRANT、 ACTER、 SHOW 
DATABASE、RELOAD、SHUTDOWN、PROCESS、SUPER 等 。 


第 20 章 数据 库 系统 安全 “ 国 443 荐 


9. 安全 监测 
安全 监控 MySQL 数据 库 运行 ， 及 时 修补 MySQL 数据 库 漏洞 。 
10. 安全 备份 
定期 备份 MySQL 数据 库 系统 及 数据 。 

20.5.4 ”MySQL 漏洞 修补 


MySQL 的 安全 漏洞 主要 类 型 是 拒绝 服务 、 代 码 执行 、 溢 出 、 逃 避 、 特 权 获 取 等 。 因 此 ， 
要 及 时 安装 MYSQL 漏洞 补 本 包 ， 防 止 漏洞 被 利用 。 


20.6 国产 数据 库 安 全 分 析 与 防护 


本 节 阅 述 了 国产 数据 库 系统 的 发 展 状况 ， 分 析 了 国产 数据 库 的 安全 问题 ,给 出 了 国产 数据 
库 系 统 安全 增强 措施 及 参考 案例 。 


20.6.1 国产 数据 库 概况 


国产 数据 库 是 指 由 国家 自主 研发 力量 研制 的 数据 库 系统 ， 具 有 较 强 的 可 控 性 和 安全 性 。 现 
已 形成 神舟 数据 、 人 大 金 仓 、 达 梦 等 传统 数据 库 以 及 中 科 院 软件 所 安 捷 实 时 数据 库 。 国 产 数据 
库 产 品 已 经 广泛 使 用 在 国家 电网 、 国 土 资源 、 审 计 、 铁 路 系统 、 电 力 、 银 行 、 通 信 等 关键 信息 
基础 设施 领域 。 围 绕 数据 库 安全 ， 我 国 制定 了 国家 标准 《信息 安全 技术 ”数据库 管理 系统 安全 
技术 要 求 》 (GB/T 20273 一 2019) ， 该 标准 规定 了 数据 库 管理 系统 的 五 个 安全 等 级 及 其 所 需要 
的 安全 技术 要 求 。 


20.6.2 ”国产 数据 库 安 全 分 析 
国产 数据 库 系统 主要 面临 的 安全 风险 分 析 如 下 。 
1. 国产 数据 库 安全 漏洞 


因为 数据 库 的 复杂 性 和 软件 编程 安全 问题 ， 国 产 数据 库 的 设计 和 代码 实现 可 能 存在 安全 漏 
洞 ， 导 致 国产 数据 库 面临 安全 风险 。 例 如 ， 达 梦 数据 库 服务 器 存在 越权 访问 漏洞 〈 漏 洞 编号 : 
CNVD-2017-31606) ， 攻 击 者 可 利用 漏洞 非法 获取 拥有 数据 库 最 高 权限 的 DBA 角色 权限 ， 进 
而 实现 对 整个 数据 库 的 控制 ， 包 括 增 、 删 、 改 、 查 等 各 类 关键 操作 ， 通 过 恶意 算 改 数据 将 造成 
应 用 系统 瘫痪 或 直接 的 经 济 损失 ， 甚 至 可 以 获取 数据 库 中 的 核心 数据 资产 。 南 大 通用 GBASE 
数据 库存 在 拒绝 服务 漏洞 (漏洞 编号 : CNVD-2016-09750) ， 南 大 通用 GBASE 数据 库 8.3 版 
本 存在 拒绝 服务 漏洞 ， 任 意 用 户 登录 上 GBASE 后 调用 astest 函数 使 用 特定 参数 ， 最 终 会 导致 
GBASE 用 尽 所 有 内 存 而 宕 机 ， 攻 击 者 可 利用 该 漏洞 导致 拒绝 服务 。 
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2. 国产 数据 库 依赖 第 三 方 系统 组 件 的 安全 


国产 数据 库 所 依赖 的 第 三 方 系统 组 件 存在 安全 漏洞 引发 的 安全 风险 问题 。 例 如 Open SSL 
协议 安全 漏洞 ， 该 漏洞 对 国产 数据 库 网 络 传输 数据 有 安全 影响 。 


3. 国产 数据 库 系 统 安全 配置 的 安全 


对 国产 数据 库 系统 的 安全 敏感 配置 不 当 ， 构 成 系统 安全 威胁 。 常 见 的 安全 配置 不 当 包 括 未 启 
用 国产 数据 库 安 全 功能 、 设 置 数据 库 弱 口令 、 开 放 过 多 的 服务 端口 、 使 用 非 安全 远程 登录 工具 等 。 


4. 国产 数据 库 支持 平台 的 安全 


国产 数据 库 受 制 于 操作 系统 而 产生 的 安全 问题 。 例 如 ， 操 作 系统 的 安全 问题 导致 数据 库 文 
件 被 窃取 或 破坏 ， 甚 至 失去 控制 。 


20.6.3 ”国产 数据 库 安全 增强 措施 


1. 国产 数据 库 安 全 漏洞 挖掘 及 扫描 


同 国外 数据 库 的 安全 一 样 , 国产 数据 库 也 存在 安全 漏洞 问题 。 借鉴 国外 数据 库 的 安全 经 验 ， 
开展 国产 数据 库 安全 漏洞 分 析 ， 及 时 发 现 安全 隐患 。 目 前 ， 国 内 公司 安 华 金 和 建立 了 数据 库 攻 
防 实验 室 ， 开 展 了 国产 数据 库 安全 挖掘 研究 工作 。 同 时 ， 安 华 金 和 研发 了 支持 国产 数据 库 的 漏 
洞 扫描 工具 ， 可 以 检查 国产 数据 库 漏洞 信息 。 


2. 国产 数据 库 加 密 


达 梦 数据 库 管理 系统 (DM) 数据 存储 加 密 解决 方案 是 达 梦 针对 高 度 机 密 信息 系统 的 数据 
保密 性 需求 提供 的 一 个 安全 解决 方案 ， 以 填补 传统 数据 库 加 密 设 计 的 缺陷 。 达 梦 数据 库 管理 系 
统 提供 了 内 部 算法 加 密 、 第 三 方 软 硬 件 存储 加 密 和 透明 加 密 、 半 透明 加 密 、 非 透明 加 密 等 一 套 
使 用 方便 、 灵 活 可 靠 的 信息 存储 加 密 功 能 ,为 保证 关键 数据 的 安全 提供 了 强大 的 支撑 环境 。DM 
数据 库 实 现 了 密码 引擎 ， 能 够 将 外 部 密码 设备 抽象 为 一 组 调用 接口 ， 对 其 进行 管理 与 调用 ， 从 
而 实现 第 三 方 的 密码 设备 、 密 码 算法 调用 的 支持 ， 如 图 20-9 所 示 。 

达 梦 数据 库 高 级 加 密 包 提供 了 数据 库 层面 的 加 解密 机 制 ， 提 供 标准 的 JDBC、ODBC、 
ADO.NET 等 数据 库 访 问 接 口 ， 存 储 加 密 和 通信 加 密 的 加 、 解 密 过 程 对 应 用 完全 透明 。 


3. 国产 安全 数据 库 


人 大 金 仓 数据 库 KingbaseES 安全 版 是 遵照 安全 数据 库 国家 标准 GB/T 20273 一 2019 的 第 四 
级 技术 要 求 ， 参 考 业内 安全 模型 自主 研发 的 ， 如 图 20-10 所 示 。 金 仓 数据 库 产品 实现 多 重 身份 
鉴别 、 入 侵 检 测 与 报警 、 可 信 路 径 、 推 理 控制 、 形 式 化 证 明 、 隐 蔽 信道 分 析 等 第 四 级 技术 要 求 ， 
并 通过 公安 部 第 四 级 产品 检验 ， 获 得 销售 许可 。 


| 
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外 部 加 密 硬 件 设备 


密 钥 详细 信息 


加 解密 执行 模块 


明文 ， 密 钥 ， 算 法 [xnxx 密 钥 ， 算 法 


图 20-9 达 梦 数据 库 加 密 示意 图 


图 20-10 人 大 金 仓 数据 库 结构 示意 图 
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此 外 ， 中科院 信息 安全 国家 重点 实验 室 基于 开源 数据 库 系 统 PostgreSQL, 研制 了 安全 数据 
库 管 理 系统 LOIS SDBMS。LOIS SDBMS 是 国内 第 一 个 采用 核心 化 体系 结构 的 安全 数据 库 管 理 
系统 ， 强 制 访 问 控 制 粒 度 达到 记录 级 。 经 公安 部 计算 机 信息 系统 安全 产品 质量 监督 检验 中 心 评 
测 达到 国标 17859 的 第 三 级 的 要 求 .南京 大 学 基于 开源 数据 库 系统 PostgreSQL 研制 了 Softbase， 
经 评测 达到 了 国标 17859 的 第 三 级 的 要 求 。 


20.7 ”本 章 小 结 


本 章 首先 阐述 了 数据 库 安全 的 概念 及 相关 安全 威胁 、 安 全 隐患 、 安 全 需求 ， 并 分 析 了 标识 
与 鉴别 、 访 问 控制 、 安 全 审计 等 数据 库 安 全 机 制 及 数据 库 加 密 、 数 据 库 脱 敏 、 数 据 库 防火 墙 等 
相关 实现 技术 ; 然后 重点 分 析 了 常用 的 Oracle、MS SQL Server、MySQL 等 数据 库 安全 实现 案 
例 ， 给 出 了 这 些 数据 库 的 安全 最 佳 实践 以 及 安全 漏洞 修补 相关 知识 和 方法 ; 最 后 ， 对 国产 数据 
库 的 概念 和 常见 数据 库 产 品类 型 进行 了 阐述 ， 简 要 地 对 国产 数据 库 进 行 了 安全 分 析 ， 给 出 了 国 
产 数据 库 安全 增强 措施 。 
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21.1 网 络 设备 安全 概况 


网 络 设备 安全 是 网 络 信息 系统 安全 保障 的 基础 ， 本 节 主 要 分 析 交 换 机 、 路 由 器 等 主要 网 络 
安全 设备 所 面临 的 安全 威胁 。 


21.1.1 交换 机 安全 威胁 


交换 机 是 构成 网 络 的 基础 设备 ， 主 要 的 功能 是 负责 网 络 通信 数 据 包 的 交换 传输 。 目 前 ， 工 
业界 按照 交换 机 的 功能 变化 ， 将 交换 机 分 为 第 一 代 交 换 机 、 第 二 代 交 换 机 、 第 三 代 交 换 机 、 第 
四 代 交 换 机 、 第 五 代 交换 机 。 其 中 ， 集 线 器 是 第 一 代 交 换 机 ， 工 作 于 OSI (开放 系统 互联 参考 
模型 ) 的 物理 层 ， 主 要 功能 是 对 接收 到 的 信号 进行 再 生 整 形 放 大 ， 延 长 网 络 通信 线路 的 传输 距 
离 ， 同 时 ， 把 网 络 中 的 节点 汇聚 到 集线器 的 一 个 中 心 节点 上 。 集 线 器 会 把 收 到 的 报 文 向 所 有 端 
口 转发 。 第 二 代 交 换 机 又 称 为 以 太 网 交换 机 ， 工 作 于 OSI 的 数据 链 路 层 ， 称 为 二 层 交 换 机 。 二 
层 交换 机 识别 数据 中 的 MAC 地 址 信息 ， 并 根据 MAC 地 址 选择 转发 端口 。 第 三 代 交 换 机 通俗 
地 称 为 三 层 交 换 机 , 针对 ARP/DHCP 等 广播 报 文 对 终端 和 交换 机 的 影响 , 三 层 交 换 机 实现 了 虚 
拟 网 络 (VLAN) 技术 来 抑制 广播 风暴 ， 将 不 同 用 户 划 分 为 不 同 的 VLAN，VLAN 之 间 的 数据 
包 转发 通过 交换 机 内 置 的 硬件 路 由 查找 功能 完成 。 三 层 交 换 机 工作 于 OSI 模型 的 网 络 层 。 第 四 
代 交 换 机 为 满足 业务 的 安全 性 、 可 靠 性 、QoS 等 需求 ， 在 第 二 、 第 三 代 交 换 机 功能 的 基础 上 新 
增 业 务 功 能 ， 如 防火 墙 、 负 载 均衡 、IPS 等 。 这 些 功能 通常 由 多 核 CPU 实现 。 第 五 代 交换 机 通 
常 支持 软件 定义 网 络 CSDN) ， 具 有 强大 的 QoS 能 力 。 目 前 ， 交 换 机 设备 的 国内 代表 厂商 主要 
有 华为 、 锐 捷 、 中 兴 、 华 三 等 ， 国 外 代表 厂商 主要 有 思科 〈Cisco) 、Juniper 等 。 交 换 机 面临 
的 网 络 安全 威胁 主要 有 如 下 几 个 方面 。 


1. MAC 地 址 泛 洪 


MAC 地 址 泛 洪 〈Flooding) 攻击 通过 伪造 大 量 的 虚假 MAC 地 址 发 往 交 换 机 ， 由 于 交换 机 
的 地 址 表 容量 的 有 限 性 ， 当 交换 机 的 MAC 地 址 表 被 填 满 之 后 ， 交 换 机 将 不 再 学 习 其 他 MAC 
地 址 ， 从 而 导致 交换 机 泛 洪 转发 。 


2.ARP 欺骗 


攻击 者 可 以 随时 发 送 虚假 ARP 包 更 新 被 攻击 主机 上 的 ARP 缓存 ， 进 行 地 址 欺骗 ， 干 扰 交 
换 机 的 正常 运行 。 
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3. 口令 威胁 

攻击 者 利用 口令 认证 机 制 的 脆弱 性 ， 如 弱 口令 、 通 信 明 文 传输 、 口 令 明 文 存储 等 ， 通 过 口令 
猜测 、 网 络 监听 、 密 码 破解 等 技术 手段 获取 交换 机 口令 认证 信息 ， 从 而 非 授权 访问 交换 机 设备 。 

4. 漏洞 利用 

攻击 者 利用 交换 机 的 漏洞 信息 ， 导 致 拒绝 服务 、 非 授权 访问 、 信 息 泄露 、 会 话 劫持 。 
21.1.2 路 由 器 安全 威胁 


路 由 器 不 仅 是 实现 网 络 通信 的 主要 设备 之 一 ， 而 且 也 是 关系 全 网 安全 的 设备 之 一 ， 它 的 安 
全 性 、 健 壮 性 将 直接 影响 网 络 的 可 用 性 。 无 论 是 攻击 者 发 动 DoS、DDoS 攻击 ， 还 是 网 络 蠕虫 
爆发 ， 路 由 器 往往 会 首当其冲 地 受到 冲击 ， 甚 至 导致 路 由 器 瘫痪 ， 从 而 造成 网 络 不 可 用 。 路 由 
器 面临 的 网 络 安全 威胁 主要 有 以 下 几 个 方面 。 


1. 漏洞 利用 


网 络 设备 厂商 的 路 由 器 漏洞 被 攻击 者 利用 ， 导 致 拒绝 服务 、 非 授权 访问 、 信 息 泄露 、 会 话 
劫持 、 安 全 旁 路 。 


2. 口令 安全 威胁 
路 由 器 的 口令 认证 存在 安全 隐患 ， 导 致 攻击 者 可 以 猜测 口令 ， 监 听 口 令 ， 破 解 口令 文件 。 
3. 路 由 协议 安全 威胁 


路 由 器 接收 恶意 路 由 协议 包 ， 导 致 路 由 服务 混乱 。 例 如 ，BGP 前 级 支持 攻击 (BGP prefix 
hijacking attack) 、BGP AS 路 径 欺 骗 攻 击 ( BGP AS path spoofing attack) ， 两 者 的 攻击 过 程 分 
别 如 图 21-1 和 图 21-2 所 示 。 


21-1 BGP 前缀 动 持 攻击 示意 图 
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AS2 AS3 


AS5,AS4=AS2,AS3,AS4 J 
©; 6 \ 


21-2 BGPAS 路 径 欺 骗 攻 击 示意 图 


4. DoS/DDoS 威胁 


攻击 者 利用 TCP/IP 协议 漏洞 或 路 由 器 的 漏洞 ， 对 路 由 器 发 起 拒绝 服务 攻击 。 攻 击 方法 有 
两 种 : 一 是 发 送 恶意 数据 包 到 路 由 器 ， 致 使 路 由 器 处 理 数 据 不当 ， 导 致 路 由 器 停止 运行 或 干扰 
正常 运行 。 二 是 利用 僵尸 网 络 制造 大 的 网 络 流量 传送 到 目标 网 络 ， 导 致 路 由 器 处 理 瘫痪 。 


5. 依赖 性 威胁 


攻击 者 破坏 路 由 器 所 依赖 的 服务 或 环境 ， 导 致 路 由 器 非 正常 运行 。 例 如 ， 破 坏 路 由 器 依赖 
的 认证 服务 器 ， 导 致 管理 员 无 法 正常 登录 到 路 由 器 。 


21.2 网 络 设备 安全 机 制 与 实现 技术 


网 络 设备 是 网 络 安全 的 重要 保护 对 象 ， 其 安全 性 涉及 整个 网 络 系统 。 目 前 ， 交 换 机 、 路 
由 器 通常 提供 身份 认证 、 访 问 控制 、 信 息 加 密 、 安 全 通信 以 及 审计 等 安全 机 制 ， 以 保护 网 络 设 
备 的 安全 性 。 本 节 将 站 述 网 络 设备 常见 的 安全 机 制 。 


21.2.1 认证 机 制 


为 防止 网 络 设备 滥用 ， 网 络 设备 对 用 户 身份 进行 认证 。 用 户 需要 提供 正确 口令 才能 使 用 网 
络 设备 资源 。 目 前 ， 市 场 上 的 网 络 设备 提供 Console 口令 、AUX 口令 、VTY 口令 、user 口令 、 
privilege-level 口令 等 多 种 形式 的 口令 认证 。 以 路 由 器 为 例 ，Console 口令 的 使 用 过 程 如 下 : 


Router#config terminal 

Enter configuration commands, one per line. End with CNTL/2Z. 
Router (config)#line console 0 

Router (config-line)#login 


Router (config-line)#password console-password 
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Router (config-line)#^Z 


Router# 


网 络 设备 对 于 Console、AUX 和 VTY 口令 的 口令 认证 配置 文件 如 下 : 


line con 0 

password console-password 
login 

line aux 0 

password aux-password 
login 

line vty 0 4 

password vty-password 


login 


为 了 便于 网 络 安全 管理 ， 交 换 机 、 路 由 器 等 网 络 设备 支持 TACACS+ (Terminal Access 
Controller Access Control System) 认证 、RADIUS (Remote Authentication Dial In User Service) 
认证 。TACACS+ 认 证 的 过 程 如 图 21-3 所 示 。 

-局 


客户 端 TACACS+ 服 务 器 


启动 (身份 验证 ) 用 户 连接 尝试 


问 复 (身份 验证 ) 请 求 客户 端 提供 用 户 名 “ 
继续 (身份 验证 ) 提供 服务 器 用 户 名 

回复 〈 身 份 验证 ) 请 求 客户 端 提供 密码 

继 


继续 (身份 验证 ) 提供 服务 器 密码 
复 (身份 验证 ) 表明 通过 /失败 状态 
请 求 (授权 ) service-shell 请 求 
响应 (授权 ) 表明 通过 /失败 状态 
请 求 (审计 ) start-exec 请 求 
响应 (审计 ) 记录 已 收 到 
”请 求 (授权 ) 命令 和 命令 参数 
响应 (授权 ) 表明 通过 /失败 状态 
请 求 (审计 ) 的 命令 
响应 (审计 ) 记录 已 收 到 
” 请求 (审计 ) 停止 执行 
四 响应 (审计 ) 记录 已 收 到 


时 间 


图 21-3 TACACS+ 认 证 示意 图 
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假定 服务 器 的 密 钥 是 MYTACACSkey， 配 置 网 络 设备 使 用 TACACS+ 服 务 器 的 步骤 如 下 : 

(1) 使 用 aaa new-model 命令 启用 AAA; 

(2) 使 用 tacacs-server host 命令 指定 网 络 设备 能 用 的 TACACS+ 服 务 器 ; 

(3) 使 用 tacacs-server key 命令 告知 网 络 设备 TACACS+ 服 务 器 的 密 钥 ; 

(4) 定义 默认 的 AAA 认证 方法 ， 并 将 本 地 认证 作为 备份 ; 

(5) 配置 使 用 AAA 认证 方法 。 

现 以 路 由 器 通过 AUX、VTY 使 用 TACACS+ 进 行 认 证 为 例 ， 其 中 ，TACACS+ 服 务 器 的 全 
地 址 为 了 X.Y.Z.10， 服 务 器 的 密 钥 是 MyTACACSkey。 其 配置 过 程 如 下 所 示 : 


Router#config terminal 

Enter configuration commands, one Per line. End with CNTL/2Z. 
Router (config)#aaa new-model 

Router (config)#tacacs-server host X.Y.2.10 

Router (config)#tacacs-server key MyTACACSkey 

Router (config)#aaa authentication login default group tacacs+ local 
Router (Config)#1ine aux 0 

Router (config-line)#login authentication default 

Router (config-line)#exit 

Router (config)#line vty 0 4 

Router (config-line)#login authentication default 

Router (Config-line)#^2 


Router# 


TACACS+ 要 求 用 户 提供 用 户 名 和 口令 进行 认证 ， 认 证 通过 后 再 进行 授权 操作 和 审计 。 相 
比 于 TACACS+，RADIUS 的 认证 过 程 简单 ， 如 图 21-4 所 示 。 


客户 端 RADIUS 服务 器 


访 | 
_ 访问 -接受 〈 在 属性 中 有 exec 授 权 ) 
到 | _ 审 计 要 求 (开始 ) 
所 | 审计 返回 给 用 户 
审计 要 求 停止) 
审计 返回 给 用 户 


> 


21-4 RADIUS 认证 示意 图 
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配置 网 络 设备 使 用 RADIUS 认证 的 步骤 如 下 : 

(1) 使 用 aaa new-model 命令 启用 AAA; 

(2) 使 用 radius-server host 命令 指定 网 络 设备 能 用 的 RADIUS 服务 器 ; 

(3) 使 用 radius-server key 命令 告知 网 络 设备 RADIUS 服务 器 的 密 钥 ; 

(4) 定义 默认 的 AAA 认证 方法 ， 并 将 本 地 认证 作为 备份 ; 

(5) 配置 使 用 AAA 认证 方法 。 

现 以 路 由 器 通过 VTY 使 用 RADIUS 进行 认证 为 例 ， 其 中 ，RADIUS 服务 器 的 IP 地 址 为 
XYZ.5， 服 务 器 的 密 钥 是 MYRADIUSkey， 其 配置 过 程 如 下 所 示 : 


Router#config terminal 

Enter configuration commands, one per line. End with CNTL/2Z. 
Router (config)#aaa new-model 

Router (config)#radius-server host X.Y.2.5 

Router (config)#radius-server key MyRADIUSkey 

Router (config)#aaa authentication login default group radius local 
Router (Config)#1ine con 0 

Router (config-line)#login authentication default 

Router (config-line)#exit 

Router (config)#line vty 0 4 

Router (config-line)#login authentication default 

Router (config-line)#^2 


Router# 


21.2.2 访问 控制 


网 络 设备 的 访问 可 以 分 为 带 外 (out-of-band) 访 问 和 带 内 (in-band) 访 问 。 带 外 (out-of-band) 
访问 不 依赖 其 他 网 络 ， 而 带 内 (in-band) 访问 则 要 求 提供 网 络 支持 。 网 络 设备 的 访问 方法 主要 
有 控制 端口 (Console Port) 、 辅 助 端口 (AUX Port) 、VTY、HTTP、TFTP、SNMP。Console、 
AUX 和 VTY 称 为 line。 每 种 访问 方法 都 有 不 同 的 特征 。Console Port 属于 默认 设置 访问 ， 要求 
物理 上 访问 网 络 设备 。AUX Port 提供 带 外 访问 ， 可 通过 终端 服务 器 或 调制 解 调 器 Modem 连接 
到 网 络 设备 , 管理 员 可 远程 访问 。VTY 提供 终端 模式 通过 网 络 访问 网 络 设备 , 通常 协议 是 Telnet 
或 SSH2。VTY 的 数量 一 般 设 置 为 5 个 ， 编 号 是 从 0 到 4。 网 络 设备 也 支持 使 用 HTTP 协议 进 
行 Web 访问 。 网 络 设备 使 用 TFTP (Trivial File Transfer Protocol) 上 传 配置 文件 。SNMP 提供 
读 或 读 写 访 问 几乎 所 有 的 网 络 设备 。 

1. CON 端口 访问 


为 了 进一步 严格 控制 CON 端口 的 访问 ,限制 特定 的 主机 才能 访问 路 由 器 ,可 做 如 下 配置 ， 
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其 指定 XYZ.1 可 以 访问 路 由 器 : 


Router (Config)#Access-list 1 permit X-Y.2.1 
Router (Config)#line con 0 

Router (Config-line)#Transport input none 
Router (Config-line)#Login local 

Router (Config-line)#Exec-timeoute 5 0 
Router (Config-line)#access-class 1 in 


Router (Config-line)#end 


2.VTY 访问 控制 


为 保护 VTY 的 访问 安全 ， 网 络 设备 配置 可 以 指定 固定 的 他 地址 才能 访问 ， 并 且 增 加 时 间 
约束 。 例 如 ，X.Y.Z.12、X.Y.Z.5 可 以 通过 VTY 访问 路 由 器 ， 则 可 以 配置 如 下 : 


Router#config terminal 

Enter configuration commands, one per line. End with CNTL/2Z. 
Router (config)#access-list 10 permit X.Y.2.12 

Router (config)#access-list 10 Permit X.Y.Z2.5 

Router (config)#access-list 10 deny any 

Router (config)#line vty 0 4 

Router (config-line)#access-class 10 in 

Router (config-line)#^2Z 


Router# 
超时 限制 配置 如 下 : 


Router#config terminal 

Enter configuration commands, one per line. End with CNTL/2Z. 
Router (config)#service tcp-keepalives-in 

Router (config)#line vty 0 4 

Router (config-line)#exec-timeout 5 0 

Router (config-line)#^2 


Router# 
3. HTTP 访问 控制 
限制 指定 了 地 址 可 以 访问 网 络 设备 。 例 如 ， 只 允许 XYZ.15 路 由 器 ， 则 可 配置 如 下 : 


Router#config terminal 


4 
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Enter configuration commands, one per line. End with CNTL/2Z. 
Router (config)#access-list 20 permit X.Y.2.15 

Router (config)#access-list 20 deny any 

Router (config)#ip http access-class 20 

Router (config)#^2Z 


Router# 
除 此 之 外 ， 强化 HTTP 认证 配置 信息 如 下 : 


Router#config terminal 

Enter configuration commands, one per line. End with CNTL/2Z. 
Router (config)#ip http authentication type 

Router (config)#^2 


Router# 
其 中 ，type 可 以 设 为 enable、local、tacacs 或 aaa。 
4. SNMP 访问 控制 


为 避免 攻击 者 利用 Read-only SNMP 或 Read/Write SNMP 对 网 络 设备 进行 危害 操作 ， 网 络 


设备 提供 了 SNMP 访问 安全 控制 措施 ， 具 体 如 下 : 


一 是 SNMP 访问 认证 。 当 通过 SNMP 访问 网 络 设备 时 ， 网 络 设备 要 求 访问 者 提供 社区 字符 


串 〈community strings) 认证， 类 似 口令 密码 。 如 下 所 示 ， 路 由 器 设置 SNMP 访问 社区 字符 串 。 


(1) 设置 只 读 SNMP 访问 模式 的 社区 字符 串 。 


Router#config terminal 
Enter configuration commands, one per line. End with CNTL/2Z. 
Router (config)#snmp-server community UnGuessableStringReadOnly RO 


Router (config)#^2 
(2) 设置 读 / 写 SNMP 访问 模式 的 社区 字符 串 。 


Router#config terminal 
Enter configuration commands, one per line. End with CNTL/2Z. 
Router (config)#snmp-server community UnGuessableStringWriteable RW 


Router (config)#^2Z 


二 是 限制 SNMP 访问 的 卫 地 址 。 如 下 所 示 ， 只 有 XYZ8 和 XYZ.7 的 P 地 址 对 路 由 器 


进行 SNMP 只 读 访问 。 


Router#config terminal 
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Enter configuration commands, one per line. End with CNTL/2Z. 

Router (config)#access-list 6 permit X.Y.2.8 

Router (config)#access-list 6 permit X.Y.2.7 

Router (config)#access-list 6 deny any 

Router (config)#snmp-server community UnGuessableStringReadOnly RO 6 


Router (config)#^2Z 

三 是 关闭 SNMP 访问 。 如 下 所 示 ， 网 络 设备 配置 no snmp-server community 命令 关闭 SNMP 访问 。 
Router#config terminal 

Enter configuration commands, one per line. End with CNTL/2- 


Router (config)#no snmp-server community UnGuessableStringReadOnly RO 
Router (config)#^2 


S. 设置 管理 专 网 

远程 访问 路 由 器 一 般 是 通过 路 由 器 自身 提供 的 网 络 服务 来 实现 的 ， 例 如 Telnet、SNMP、 
Web 服务 或 拨号 服务 。 虽 然 远程 访问 路 由 器 有 利于 网 络 管理 ， 但 是 在 远程 访问 的 过 程 中 ， 远 程 
通信 时 的 信息 是 明文 ， 因 而 ， 攻 击 者 能 够 监听 到 远程 访问 路 由 器 的 信息 ， 如 路 由 器 的 口令 。 为 
增强 远程 访问 的 安全 性 ， 应 建立 一 个 专用 的 网 络 用 于 管理 设备 ， 如 图 21-5 所 示 。 


= 二 和 


@ 


管理 机 日 志 机 


图 21-5 建立 专用 的 网 络 用 于 管理 路 由 器 示意 图 


同时 ， 网 络 设备 配置 支持 SSH 访问 ， 并 且 指 定 管理 机 器 的 下 地 址 才 可 以 访问 网 络 设备 ， 
从 而 降低 网 络 设备 的 管理 风险 ， 具 体 方法 如 下 : 

(1) 将 管理 主机 和 路 由 器 之 间 的 全 部 通信 进行 加 密 ， 使 用 SSH 葵 换 Telnet。 

(2) 在 路 由 器 设置 包 过 滤 规 则 ， 只 允许 管理 主机 远程 访问 路 由 器 。 例 如 以 下 路 由 器 配置 可 
以 做 到 : 只 允许 下 地 址 是 X.YZ.6 的 主机 有 权 访问 路 由 器 的 Telnet 服务 。 


Router (config)#access-list 99 permit X.Y.2.6 log 
Router (config)#access-list 99 deny any log 


Router (config)#line vty 0 4 
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Router (config—line)#access-class 99 in 
Router (config—line)#exec-timeout 5 0 
Router (config—line)#login local 

Router (config—line)#transport input telnet 
Router (config—line)#exec 

Router (config—line)#end 


Router# 


6. 特权 分 级 


针对 交换 机 、 路 由 器 潜在 的 操作 安全 风险 ， 交换机、 路 由 器 提供 权限 分 级 机 制 ， 每 种 权限 
级 别 对 应 不 同 的 操作 能 力 。 在 Cisco 网 络 设备 中 ， 将 权限 分 为 0 一 15 共 16 个 等 级 ，0 为 最 低 等 
级 ，15 为 最 高 等 级 。 等 级 越 高 ， 操 作 权 限 就 越 多 ， 具 体 配置 如 下 : 


Router>show privilege 
Current privilege level is 1 
Router>enable 5 

Password: level-5-password 
Router#show privilege 
Current privilege level is 5 


Router# 


21.2.3 ”信息 加 密 


网 络 设备 配置 文件 中 有 敏感 口令 信息 ,一 旦 泄露 ， 将 导致 网 络 设备 失去 控制 。 为 保护 配置 
文件 的 敏感 信息 ， 网 络 设备 提供 安全 加 密 功 能 ， 保 存 敏感 口令 数据 。 未 启用 加 密 保护 的 时 候 ， 
配置 文件 中 的 口令 信息 是 明文 ， 任 何人 都 可 以 读 懂 。 启 用 service password-encryption 配置 后 ， 
对 口令 明文 信息 进行 加 密 保护 ， 如 表 21-1 所 示 。 


表 21-1 网 络 设备 口令 信息 加 密 前 后 对 照 示意 表 
状态 网 络 设备 配置 文件 信息 


username jdoe password 0 jdoe-password 


username rsmith password 0 rsmith-password 
加 密 前 a 


password console-password 

username jdoe password 7 09464A061C480713181F13253920 

加 密 后 username rsmith password 7 09SESD0410111FSF1B0D17393C2B3A37 
口 


password 7 110A160B041D0709493A2A373B243A3017 
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21.2.4 ”安全 通信 
网 络 设备 和 管理 工作 站 之 间 的 安全 通信 有 两 种 方式 : 一 是 使 用 SSH， 二 是 使 用 VPN。 


1.SSH 


为 了 远程 访问 安全 ， 网 络 设备 提供 SSH 服务 以 蔡 换 非 安全 的 Tenet， 其 配置 步骤 如 下 : 
(1) 使 用 hostname 指定 设备 名 称 。 

(2) 使 用 ip domain-name 配置 设备 域 。 

(3) 使 用 crypto key generate rsa 生成 RSA 加 密 密 钥 。 建 议 最 小 密 钥 大 小 为 1024 位 。 
(4) 使 用 issh 设置 SSH 访问 。 

(5) 使 用 transport input 命令 配置 使 用 SSH。 

如 下 所 示 ， 是 在 路 由 器 RouterOne 上 设置 SSH 访问 ，VTY 配置 成 只 允许 SSH 访问 。 


Router#config terminal 

Enter configuration commands, one per line. End with CNTL/2. 

Router (config)#hostname RouterOne 

Routerone (config)#ip domain-name mydomain .com 

Routerone (config)#crypto key generate rsa 

The name for the keys will be: RouterOne 

Choose the size of the key modulus in the range of 360 to 2048 for your 
General Purpose Keys. Choosing a key modulus greater than 512 may take 
a few minutes. 

How many bits in the modulus [512]: 1024 

Generating RSA keys ... 

[OK] 

Routerone (config)#ip ssh time-out 60 

Routerone (config)#ip ssh authentication-retries 2 

Routerone (config)#line vty 0 4 

Routerone (config-line)#transport input ssh 

Routerone (config-line)#^2Z 


Routerone# 


2. IPSec VPN 


网 络 设备 若 支持 IPSec, 则 可 以 保证 管理 工作 站 和 网 络 设备 的 网 络 通信 内 容 是 加 密 传 输 的 ， 
其 主要 配置 步骤 如 下 : 

(1) 设置 ISAKMP 预 共享 密 钥 ; 

(2) 创建 可 扩展 的 ACL，; 

(3) 创建 IPSec transforms; 

(4) 创建 crypto map; 
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(5) 应 用 crypto map 到 路 由 接口 。 
假设 管理 工作 站 的 人 P 地 址 是 X.Y.Z.10， 网 络 设备 是 路 由 器 RouterOne， 则 路 由 器 的 IPsec 
配置 过 程 如 表 21-2 所 示 。 


表 21-2 IPsec 配置 过 程 示意 表 


过 程 步骤 配 置 内 容 

RouterOnet#config terminal 
Enter configuration commands， one per line. End with CNTL/Z. 

设置 ISAKMP RouterOne (config) #crypto isakmp policy 10 
RouterOne (config-isakmp) #authentication pre-share 
RouterOne (config-isakmp) #°Z 
RouterOne#config terminal 
Enter configuration commands, one per line. End with CNTL/Z. 

创建 可 扩展 的 ACL RouterOne (config) #access-list 150 permit ip host X.YZ.10 host RouterOne 


创建 IPSec transforms 


创建 crypto map 


应 用 crypto map 到 路 
由 接口 


212:5 日 志 审 计 


RouterOne (config) #access-list 150 deny ip any any 

RouterOne (config) #Z 

RouterOne#config terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
RouterOne (config) #crypto ipsec transform-set TransOne ah-md5-hmac esp-des 
RouterOne (cfeg-crypto-trans) #2Z 

RouterOne#config terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
RouterOne (config) #crypto map MyMapOne 10 ipsec-isakmp 
RouterOne (config-crypto-map) #set peer X.Y.2.10 

RouterOne (config-crypto-map) #set transform-set TransOne 
RouterOne (config-crypto-map) #match address 150 

RouterOne (config-crypto-map) #°^Z 

RouterOne#config terminal 

Enter configuration commands， one per line. End with CNTL/Z. 
RouterOne (config) #int Serial 0/1 

RouterOne (config-if) #crypto map MyMapOne 

RouterOne (config-if) #^Z 


网 络 运行 中 会 发 生 很 多 突 发 情况 , 通过 对 网 络 设备 进行 审计 , 有 利于 管理 员 分 析 安 全 事件 。 


网 络 设备 提供 控制 台 日 


志 审 计 (Console logging) 、 缓 冲 区 日 志 审 计 (Buffered logging) 、 终 端 


审计 (Terminal logging) 、SNMP traps、AAA 审计 、Syslog 审计 等 多 种 方式 。 
由 于 网 络 设备 的 存储 信息 有 限 ， 一 般 是 建立 专用 的 日 志 服务 器 ， 并 开局 网 络 设备 的 Syslog 
服务 ， 接 收 网 络 设备 发 送出 的 报警 信息 。 如 图 21-6 所 示 ， 图 中 日 志 服务 器 负责 存放 路 由 器 1 和 
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路 由 器 2 的 审计 记录 。 


Sysl 日 志 存 
服务 器 储 设备 


图 21-6 路 由 器 审计 信息 管理 配置 示意 图 


21.2.6 ”安全 增强 


为 了 增强 网 络 设备 的 抗 攻击 性 ， 网 络 设备 提供 服务 关闭 及 恶意 信息 过 滤 等 功能 ， 以 提升 网 
络 设备 的 自身 安全 保护 能 力 。 

1. 关闭 非 安全 的 网 络 服务 及 功能 

网 络 设备 自身 提供 许多 网 络 服务 ， 例 如 Telnet、Finger、HTTP 等 。 这 些 服务 虽然 给 管理 带 


来 了 方便 ， 但 也 留 下 了 安全 隐患 。 为 了 增强 网 络 设备 的 安全 ， 减 少 网 络 攻击 面 ， 网 络 设备 应 尽 
量 不 提供 网 络 服务 ， 或 者 关闭 危险 的 网 络 服务 ， 或 者 限制 网 络 服务 范围 。 


2. 信息 过 滤 
过 滤 恶 意 路 由 信息 ， 控 制 网 络 的 垃圾 信息 流 。 


Router (Config)# access-list 10 deny 192.168.1.0 0.0.0.255 


Router (Config)# access-list 10 permit any 


禁止 路 由 器 接收 更 新 192.168.1.0 网 络 的 路 由 信息 。 
Router (Config)# router ospf 100 

Router (Config-router)# distribute-list 10 in 
禁止 路 由 器 转发 传播 192.168.1.0 网 络 的 路 由 信息 。 


Router (Config)# router ospf 100 


Router (Config-router)# distribute-list 10 out 
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禁止 默认 启用 的 ARP-Proxy， 避 免 引起 路 由 表 的 混乱 。 


Router (Config)# no ip proxy-arp 

Router (Config-if)# no ip proxy-arp 

3. 协议 认证 

为 保证 路 由 协议 的 正常 运行 ， 用 户 在 配置 路 由 器 时 要 使 用 协议 认证 。 如 果 不 是 这 样 ， 路 由 
器 就 会 来 者 不 拒 ， 接 收 任意 的 路 由 信息 ， 从 而 可 能 被 恶意 利用 。 例 如 ， 某 个 人 使 用 一 些 RIP 或 
OSPF 软件 ， 或 简单 地 给 路 由 器 发 送 一 些 错误 RIP、OSPF 或 EIGRP 包 ， 那 么 路 由 器 会 得 到 一 
些 错 误 的 路 由 信息 ， 从 而 产生 了 P 寻 址 错误 ,造成 网 络 瘫痪 。 因 此 ， 必 须 通 过 一 些 安全 措施 来 实 
现 路 由 器 的 协议 安全 运行 。 

1) 启用 OSPF 路 由 协议 的 认证 

Router (Config)# router ospf 100 

Router (Config-router)#network 192.168.100.0 0.0.0.255 area 100 

! 启用 MD5 认证 。 

! area area-id authentication 启用 认证 ,是 明文 密码 认证 。 

|! area area-id authentication message-digest 

Router (Config-router)# area 100 authentication message-digest 

Router (Config)# exit 

Router (Config)# interface eth0/1 

! 启用 MD5 密 钥 Key 为 routerospfkeyo 

1 ip ospf authentication-key key 启用 认证 密 钥 , 但 会 是 明文 传输 。 

! ip ospf message-digest-key key-id(1-255) md5 key 

Router (Config-if)# ip ospf message-digest-key 1 md5 routerospfkey 


2) RIP 协议 的 认证 

只 有 RIP-V2 支持 ，RIP-V1 不 支持 。 建 议 启 用 RIP-V2， 并 且 采 用 MD5 认证 。 普 通 认 证 同 
样 是 明文 传输 的 。 

Router (Config)# config terminal 

! 启用 设置 密 钥 链 

Router (Config)# key chain mykeychainname 

Router (Config-keychain)# key 1 

! 设置 密 钥 字 串 

Router (Config-leychain-key)# key-string MyFirstKeyString 

Router (Config-keyschain)# key 2 


Router (Config-keychain-key)# key-string MySecondKeyString 
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! 启用 RIP-V2 

Router (Config)# router rip 

Router (Config-router)# version 2 

Router (Config-router)# network 192.168.100.0 
Router (Config)# interface eth0/1 

! 采用 MD5 模式 认证 , 并 选择 已 配置 的 密 钥 链 

Router (Config-if)# ip rip authentication mode md5 


Router (Config-if)# ip rip anthentication key-chain mykeychainname 


3) 启用 IP Unicast Reverse-Path Verification 
能 够 检查 源 人 P 地 址 的 准确 性 ， 从 而 可 以 防止 一 定 的 了 Spooling。 但 是 它 只 能 在 启用 CEF 
(Cisco Express Forwarding) 的 路 由 器 上 使 用 。 


Router# config t 

! 启用 CEF 

Router (Config)# ip cef 

! 启用 Unicast Reverse-Path Verification 
Router (Config)# interface eth0/1 


Router (Config)# ip verify unicast reverse-path 


21.2.7 ”物理 安全 


物理 安全 是 网 络 设备 安全 的 基础 , 物理 访问 必须 得 到 严格 控制 。 物理 安全 的 策略 主要 如 下 : 
。 ”指定 授权 人 安装 、 印 载 和 移动 网 络 设备 ; 

。 ”指定 授权 人 进行 维护 以 及 改变 网 络 设备 的 物理 配置 ; 

。 ”指定 授权 人 进行 网 络 设备 的 物理 连接 ; 

。 ”指定 授权 人 进行 网 络 设备 的 控制 台 使 用 以 及 其 他 的 直接 访问 端口 连接 ; 

。 ”明确 网 络 设备 受到 物理 损坏 时 的 恢复 过 程 或 者 出 现 网 络 设备 被 算 改 配置 后 的 恢复 过 程 。 


21.3 ”网络 设备 安全 增强 技术 方法 


本 节 内 容 为 交换 机 和 路 由 器 的 安全 增强 技术 方法 。 
21.3.1 ”交换 机 安全 增强 技术 方法 


1. 配置 交换 机 访问 口令 和 ACL， 限 制 安全 登录 
目前 ， 交 换 机 提供 了 多 种 用 户 登录 、 访 问 设备 的 方式 ， 主 要 有 通过 Console 端口 、AUX 端 
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口 、SNMP 访问 、Telnet 访问 、SSH 访问 、HTTP 访问 等 方式 。 为 增强 交换 机 的 访问 安全 ， 交 
换 机 支持 ACL 访问 和 口令 认证 安全 控制 ， 防 止 非法 用 户 登录 访问 交换 机 设备 。 交 换 机 的 安全 
访问 控制 分 为 两 级 : 

(1) 第 一 级 通过 控制 用 户 的 连接 实现 。 配 置 交换 机 ACL 对 登录 用 户 进行 过 滤 ， 只 有 合法 
用 户 才能 和 交换 机 设备 建立 连接 。 

(2) 第 二 级 通过 用 户口 令 认 证 实现 。 连 接 到 交换 机 设备 的 用 户 必 须 通过 口令 认证 才能 真正 
登录 到 设备 。 为 防止 未 授权 用 户 的 非法 侵入 ， 必 须 在 不 同 登录 和 访问 的 用 户 界面 设置 口令 ， 同 
时 设置 登录 和 访问 的 默认 级 别 和 切换 口令 。 

通过 配置 ACL 对 登录 用 户 进行 过 滤 控 制 ， 可 以 在 进行 口令 认证 之 前 将 一 些 恶 意 或 者 不 合 
法 的 连接 请 求 过 滤 掉 ， 保 证 交换 机 设备 的 安全 。 


2. 利用 镜像 技术 监测 网 络 流量 


以 太 网 交换 机 提供 基于 端口 和 流量 的 镜像 功能 ， 即 可 将 指定 的 1 个 或 多 个 端口 的 报 文 或 数 
据 包 复制 到 监控 端口 ， 用 于 报 文 的 分 析 和 监视 、 网 络 检测 和 故障 排除 。 


3. MAC 地 址 控制 技术 


可 以 通过 设置 端口 上 最 大 可 以 通过 的 MAC 地 址 数量 、MAC 地 址 老化 时 间 ， 来 抑制 MAC 
攻击 。 

(1) 设置 最 多 可 学 习 到 的 MAC 地 址 数 。 

通过 设置 以 太 网 端口 最 多 学 习 到 的 MAC 地址 数 ,用 户 可 以 控制 以 太 网 交换 机 维护 的 MAC 
地 址 表 的 表 项 数量 。 如 果 用 户 设置 的 值 为 count， 则 该 端口 学 习 到 的 MAC 地 址 条 数 达到 count 
时 , 该 端口 将 不 再 对 MAC 地 址 进行 学 习 。 缺 省 情况 下 , 交换 机 对 于 端口 最 多 可 以 学 习 到 的 MAC 
地 址 数目 没有 限制 。 

(2) 设置 系统 MAC 地 址 老化 时 间 。 

设置 合适 的 老化 时 间 可 以 有 效 实现 MAC 地 址 老化 的 功能 。 用 户 设置 的 老化 时 间 过 长 或 者 
过 短 ， 都 可 能 导致 以 太 网 交换 机 广播 大 量 找 不 到 目的 MAC 地 址 的 数据 报 文 ， 进 而 影响 交换 机 
的 运行 性 能 。 如 果 用 户 设置 的 老化 时 间 过 长 ， 以 太 网 交换 机 可 能 会 保存 许多 过 时 的 MAC 地 址 
表 项 ， 从 而 耗 尽 MAC 地 址 表 资 源 ， 导 致 交换 机 无 法 根据 网 络 的 变化 更 新 MAC 地 址 表 。 如 果 
用 户 设置 的 老化 时 间 太 短 ， 以 太 网 交换 机 可 能 会 删除 有 效 的 MAC 地 址 表 项 。 一 般 情 况 下 ， 推 
荐 使 用 老化 时 间 age 的 默认 值 300 秒 。 


4. 安全 增强 


安全 增强 的 作用 在 于 减少 交换 机 的 网 络 攻击 威胁 面 ， 提 升 抗 攻 击 能 力 。 方 法 主要 包括 关闭 
交换 机 不 必要 的 网 络 服务 、 限 制 安全 远程 访问 、 限 制 控制 台 的 访问 、 启 动 登录 安全 检查 、 安 全 
审计 等 安全 增强 措施 。 现 以 思科 交换 机 安全 增强 为 例 ， 安 全 配置 如 下 : 


(1) 关闭 不 需要 的 网 络 服务 。 


no ip http server 

no ip http secure-server 
no service dhcp 

cpd run 

no lldp run global 

no ip bootp server 


no ip domain-lookup 


和 中 忠厚 间 站 御 中 
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no ip source-route 


(2) 创建 本 地 账号 。 


username netadmin privilege 15 secret 1111 
enable secret 2222 

service password-encryption 

aaa new-model 


aaa authentication login default local-case 


砷 站 非 站 站 咎 


aaa local authentication attempts max-fail 10 


(3) 启用 SSH 服务 。 


ip domain-name techspacekh.com 
crypto key generate rsa modulus 2048 
ip ssh version 2 

ip ssh time-out 30 

ip ssh logging events 


ip ssh maxstartups 10 


哇哇 中 得 四 中 中 


ip ssh authentication-retries 5 


(4) 限制 安全 远程 访问 。 


# ip access-list standard ACL-SSH 
permit 10.10.20.0 0.0.0.255 log 
deny any log 

# line vty 04 
transport input ssh 


access-class ACL-SSH in 
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exec-timeout 15 


(5) 限制 控制 台 的 访问 。 


# line con 0 
exec-timeout 15 


no privilege level 15 


(6) 启动 登录 安全 检查 。 


# login block-for 300 attempts 5 within 120 
# login delay 2 
# login on-failure log 


# login on-success log 


(7) 安全 审计 。 
将 审计 信息 发 送 到 日 志 服务 器 。 


logging buffered 16000 informational 
logging X.Y.2.5 
logging source-interface Loopback 0 


service timestamps debug datetime msec localtime show-timezone 


硅 非 夺 站 和 


service timestamps log datetime msec localtime show-timezone 


(8) 限制 SNMP 访问 。 


# ip access-list standard ACL-SNMP 
permit X.Y.2.6 
deny any log 
# snmp-server community T@s9aMon RO ACL-SNMP 


# snmp-server location DC 


(9) 安全 保存 交换 机 IOS 软件 镜像 文件 。 


# ip scp server enable 


# copy scp://username@ X.Y.Z2.20/home/techspacekh/file.txt flash: 


# configuration mode exclusive auto 
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# secure boot-image 


# secure boot-config 


(10) 关闭 不 必要 的 端口 。 


# int range fa0/1 - 48 
Switchport port-security maximum 2 
switchport port-security aging time 10 
switchport port-security aging type inactivity 


switchport port-security 


(11) 关闭 控制 台 及 监测 的 审计 。 


# no logging console 


# no logging monitor 


(12) 警示 信息 。 


#banner login # 

UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED! You must have explicit 
permission to access or configure this system. 

All activities performed on this system may be logged, and violations of this 
policy may result in disciplinary action, and may be reported to law enforcement. 

Use of this system shall constitute consent to monitoring. 

# 

# banner motd # 

AUTHORIZED ACCESS ONLY! If you are not an authorized user, disconnect 
IMMEDIATELY! All connections are monitored and recorded. 


# 


21.3.2 路 由 器 安全 增强 技术 方法 


1. 及 时 升级 操作 系统 和 打 补 丁 


路 由 器 的 操作 系统 (IOS) 是 路 由 器 最 核心 的 部 分 ， 及 时 升级 操作 系统 能 有 效 地 修补 漏洞 、 
获取 新 功能 并 提高 性 能 。 


2. 关闭 不 需要 的 网 络 服务 


路 由 器 虽然 可 以 提供 BOOTP、Finger、NTP、Echo、Discard、Chargen、CDP 等 网 络 服务 ， 
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然而 这 些 服务 会 给 路 由 器 造成 安全 隐患 ， 为 了 安全 ， 建 议 关 闭 这些 服 务 。 下 面 是 一 些 关 闭路 由 
器 危险 的 网 络 服务 的 操作 方法 : 
(1) 禁止 CDP (Cisco Discovery Protocol) 。 


Router (Config)#no cdp run 


Router (Config-if)# no cdp enable 


(2) 禁止 其 他 的 TCP、UDP Small 服务 。 


Router (Config)# no service tcp-small-servers 


Router (Config)# no service udp-small-servers 


(3) 禁止 Finger 服务 。 


Router (Config)# no ip finger 


Router (Config)# no service finger 


(4) 禁止 HTTP 服务 。 


Router (Config)# no ip http server 


(5) 禁止 BOOTP 服务 。 


Router (Config)# no ip bootp server 


(6) 禁止 从 网 络 启动 和 自动 从 网 络 下 载 初始 配置 文件 。 


Router (Config)# no boot network 


Router (Config)# no service config 


(7) 禁止 IP Source Routing。 


Router (Config)# no ip source-route 


(8) 禁止 ARP-Proxy 服务 。 


Router (Config)# no ip proxy-arp 


Router (Config-if)# no ip proxy-arp 


(9 ) 明确 地 禁止 IP Directed Broadcast。 


Router (Config)# no ip directed-broadcast 
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(10) 禁止 IP Classless。 


Router (Config)# no ip classless 


(11 ) 禁止 ICMP 协议 的 卫 Unreachables、Redirects、Mask Replies 。 


Router (Config-if)# no ip unreacheables 
Router (Config-if)# no ip redirects 


Router (Config-if)# no ip mask-reply 


(12 ) 禁止 SNMP 协议 服务 。 
在 禁止 时 必须 删除 一 些 SNMP 服务 的 默认 配置 ， 或 者 需要 访问 列表 来 过 滤 。 


Router (Config)# no snmp-server community public Ro 

Router (Config)# no snmp-server community admin RW 

Router (Config)# no access-list 70 

Router (Config)# access-list 70 deny any 

Router (Config)# snmp-server community MoreHardPublic Ro 70 
Router (Config)# no snmp-server enable traps 

Router (Config)# no snmp-server system-shutdown 

Router (Config)# no snmp-server trap-anth 

Router (Config)# no snmp-server 


Router (Config)# end 


(13) 禁止 WINS 和 DNS 服务 。 
Router (Config)# no ip domain-lookup 


3. 明确 禁止 不 使 用 的 端口 


Router (Config)# interface eth0/3 


Router (Config)# shutdown 


4. 禁止 IP 直接 广播 和 源 路 由 


在 路 由 器 的 网 络 接口 上 禁止 P 直接 广播 ， 可 以 防止 smurf 攻击 。 禁 止 IP 直接 广播 的 配置 
方法 如 下 : 


router#interface eth 0/0 


router#no ip directed-broadcast 


二 17 于 
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另外 ， 为 了 防止 攻击 利用 路 由 器 的 源 路 由 功能 ， 也 应 对 其 禁止 使 用 ， 其 配置 方法 是 : 
router#no ip source-route 
5. 增强 路 由 器 VTY 安全 


路 由 器 给 用 户 提供 虚拟 终端 (VTY) 访问 ， 用 户 可 以 使 用 Telnet 从 远程 操作 路 由 器 。 为 了 
保护 路 由 器 的 虚拟 终端 安全 使 用 ， 要 求 用 户 必 须 提供 口令 认证 ， 并 且 限 制 访问 网 络 区 域 或 者 主 
机 。 例 如 ， 路 由 器 south 的 安全 配置 如 下 : 


South(config)# line vty 0 4 

South (config-line)# login 

South (config-line)# password Soda-4-JIMMY 

South (config-line)# access-class 2 in 

South (config-line)# transport input telnet 

South (config-line)# exit 

South(config)# no access-list 92 

South (config)# access-list 92 permit X.Y.2.0 0.0.0.255 


路 由 器 south 通过 上 述 安全 配置 ， 用户 只 有 提供 正确 的 口令 才能 访问 VTY， 并且 只 能 从 网 
络 XYZ 登录 。 


6. 阻 断 恶 意 数据 包 


网 络 攻击 者 经 常 通过 构造 一 些 恶意 数据 包 来 攻击 网 络 或 路 由 器 ， 为 了 阻 断 这 些 攻击 ， 路 由 
器 利用 访问 控制 来 禁止 这 些 恶 意 数据 包 通 行 。 常 见 的 恶意 数据 包 有 以 下 类 型 

。 ” 源 地 址 声称 来 自 内 部 网 ; 

。 ”loopback 数据 包 ; 

。 ”ICMP 重 定向 包 ; 

。 广播 包 ; 

。 源 地 址 和 目标 地 址 相同 。 

下 面 是 一 个 名 为 North 的 路 由 器 的 安全 配置 ， 其 作用 是 阻 断 恶意 数据 包 ， 配 置信 息 如 下 : 


North (Config)#no access-list 107 

North (config)#!block internal addresses coming from outside 

North (config)#access-list 107 deny ip X.2.0.0 0.0.255.255 any log 
North (config)#access-list 107 deny ip X.1.0.0 0.0.255.255 any log 
North (config)#!block bogus loopback addresses 

North (config)#access-list 107 deny ip 127.0.0.1 0.0.0.255 any log 
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North (config)#!block multicast 

North (config)#access-list 107 deny ip 224.0.0.0 0.0.255.255 any 
North (config)#!block broadcast 

North (config)#access-list 107 deny ip host 0.0.0.0 any log 
North (config)#!block ICMP redirects 

North (config)#access-list 107 deny icmp any any redirect log 
North (config)#interface eth0/0 


North (config-if)#ip access-group 107 in 


7. 路 由 器 口令 安全 


口令 是 保护 路 由 器 安全 的 有 效 方法 ， 但 是 一 旦 口令 信息 泄露 就 会 危及 路 由 器 安全 。 因 此 ， 路 由 
器 的 口令 存放 应 是 密 文 。 在 路 由 器 配置 时 ， 使 用 Enable secret 命令 保存 口令 密 文 ， 配置 操作 如 下 : 


Router#Enable secret 2Many-Routes-4-U 
8. 传输 加 密 


启用 路 由 器 的 也 Sec 功能 ， 对 路 由 器 之 间 传 输 的 信息 进行 加 密 。 借 助 PSec， 路 由 器 支持 建立 虚 
拟 专用 网 (VPN》〉》， 因 而 可 以 用 在 公共 人 P 网 络 上 确保 数据 通信 的 保密 性 。 由 于 IPSec 的 部 署 简便 ， 
只 须 安全 通道 两 端的 路 由 器 支持 PSec 协议 即 可 ， 几 乎 不 需要 对 网 络 现 有 的 基础 设施 进行 变动 。 


9. 增强 路 由 器 SNMP 的 安全 
修改 路 由 器 设备 厂商 的 SNMP 默认 配置 , 对 于 其 public 和 private 的 验证 字 一 定 要 设置 好 ， 


尤其 是 private 的 ， 一 定 要 设置 一 个 安全 的 、 不 易 猜测 的 验证 字 ， 因 为 入 侵 者 知道 了 验证 字 ， 就 
可 以 通过 SNMP 改变 路 由 器 的 配置 。 


21.4 网 络 设备 常见 漏洞 与 解决 方法 


本 节 内 容 首先 分 析 网 络 设备 常见 的 安全 漏洞 ， 然 后 给 出 安全 漏洞 的 解决 方法 。 
21.4.1 网络 设 备 常见 漏洞 


根据 已 经 公开 的 CVE 漏洞 信息 ， 思 科 、 华 为 等 网 络 设备 厂商 的 路 由 器 、 交 换 机 等 产品 不 
同 程度 地 存在 安全 漏洞 ， 常 见 的 安全 漏洞 主要 如 下 : 

(1) 拒绝 服务 漏洞 。 拒绝 服务 漏洞 将 导致 网 络 设备 停止 服务 , 危害 网 络 服务 可 用 性 。 例 如， 
思科 Catalyst 交换 机 的 HTTP 服务 器 不 当 处 理 TCP Socket， 人 允许 远程 攻击 者 通过 将 恶意 数据 包 
发 送 到 80 或 443 端口 导致 拒绝 服务 。 

(2) 跨 站 伪造 请 求 CSRF (Cross-Site Request Forgery) 。 根 据 CVE-2018-0255 信息 ， 思 科 


EE 
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正 2000 系列 交换 机 存在 此 类 漏洞 。 

(3) 格式 化 字符 串 漏洞 。 CVE-2018-0175 信息 显示 Cisco IOS 软件 、Cisco IOS XE 软件 、 
Cisco IOS XR 软件 存在 此 类 漏洞 。 

(4) XSS (Cross 一 Site Scripting) 。CVE-2016-6404 信息 显示 思科 IOS 15.5 (2) T 版 本 和 
IOS XE 中 的 Cisco IOx Local Manager 中 的 Web 框架 中 存在 此 类 漏洞 。 

(5) 旁 路 (Bypass something) 。 旁 路 漏洞 绕 过 网 络 设备 的 安全 机 制 ， 使 得 安全 措施 没有 效 
果 。CVE-2015-6366 信息 显示 Cisco IOS 15.2 (04) M6 版 本 和 15.4 (03) S 版 本 中 存在 此 类 漏 
洞 可 绕 过 流量 限制 。CVE-2017-3216 信息 显示 华为 基于 MediaTek SDK (libmtk) 的 WiMAX 
路 由 器 存在 认证 绕 过 漏洞 。 

(6) 代码 执行 (Code Execution) 。 该 类 漏洞 使 得 攻击 者 可 以 控制 网 络 设备 ， 导 致 网 络 系 
统 失去 控制 ， 危 害 性 极 大 。CVE-2000-0945 信息 显示 思科 Catalyst 3500 XL 交换 机 的 Web 配置 
接口 允许 远程 攻击 者 不 需要 认证 就 执行 任意 命令 。 

(7) 溢出 (Overflow)。 该 类 漏洞 利用 后 可 以 导致 拒绝 服务 、 特 权 或 安全 旁 路 。CVE-2006-4650 
漏洞 信息 显示 ，Cisco IOS 12.0、12.1、12.2 处 理 GRE IP 不 当 ， 存 在 整数 溢出 ， 攻 击 者 可 以 注入 
构造 特殊 包 到 路 由 队列 ， 从 而 引发 路 由 ACL 被 旁 路 。 

(8) 内 存 破坏 (Memory Corruption) 。 内 存 破坏 漏洞 利用 常会 对 路 由 器 形成 拒绝 服务 攻 
击 。CVE-2010-0576 漏洞 信息 显示 ，Cisco IOS 12.4 对 Multi Protocol Label Switching (MPLS) 
包 处 理 不 当 ， 导 致 攻击 者 远程 构造 恶意 包干 扰 思 科 相 关 的 网 络 设备 的 运行 ， 形 成 拒绝 服务 。 


21.4.2 ”网 络 设备 漏洞 解决 方法 


1. 及 时 获取 网 络 设备 漏洞 信息 


确认 当前 网 络 设备 的 IOS 的 版 本 号 ， 然 后 对 照 网 络 设备 厂商 的 安全 建议 资料 库 或 CVE 漏 
洞 信息 库 ， 检 查 该 设备 是 否 存 在 漏洞 。 目 前 ， 国 内 外 网 络 设备 主要 厂商 都 公布 本 公司 的 产品 漏 
洞 信息 。 如 图 21-7 所 示 ， 该 图 是 Cisco 公司 网 站 公布 的 漏洞 信息 。 
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图 21-7 Cisco 公司 网 站 公布 的 漏洞 信息 示意 图 
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华为 PSIRT 负责 接受 、 处 理 和 公开 披露 华为 产品 和 解决 方案 相关 的 安全 漏洞 ， 同 时 华为 
PSIRT 是 公司 对 漏洞 信息 进行 披露 的 唯一 出 口 。 华 为 鼓励 漏洞 研究 人 员 、 行 业 组 织 、 政 府 机 构 
和 供应 商 主动 将 与 华为 产品 相关 的 安全 漏洞 报告 给 华为 PSIRT。 如 图 21-8 所 示 ， 该 图 是 华为 公 
司 公布 的 其 产品 相关 的 漏洞 信息 。 


时 HuawEl 日 却 \ 告 straF- ~ 国 着 六 守 a 和 ~ 华为 商城 四。 华为 云 加 Q 


百 页 》 安 全 通 和 安全 玉宇 


安全 预警 - 华为 某 些 产品 的 缓冲 区 溢出 漏洞 


初始 发 布 时 间 : 2018 年 07 月 25 日 
更 新 发 布 时 间 : 2018 年 08 月 15 日 


华为 某 些 产品 的 madapt 驱 动 中 存在 一 个 缓 ) 中 区 溢出 的 沁 洞 ， 该 
一 个 恶意 的 应 用 ， 该 应 用 发 送 恶意 的 参数 给 madapt 驱 动 ， 成 功利 用 | 
号 : HWPSIRT-2018-04103) 


此 漏 酒 的 CVE 编 号 为 : CVE-2018-7992. 
华为 已 发 布 版 本 修复 该 汤 洞 ， 安 全 巴豆 链接 


http;//www.huawei.com/cn/psirt/security-advisories/huawei-sa-20180725-01-dos-cn 


有 充分 校 验 程序 的 输入 。 攻 击 者 旅 使 用 户 去 装 
号 臻 系统 拒绝 服务 。 (漏洞 纺 


图 21-8 ”华为 公司 公布 的 漏洞 信息 示意 图 


2. 网 络 设备 漏洞 扫描 


网 络 设备 的 漏洞 对 网 络 系统 来 说 ， 是 一 个 安全 隐患 。 通 过 对 网 络 设备 的 漏洞 扫描 ， 可 以 获 
知 网 络 设备 的 漏洞 状况 ， 以 便 采取 安全 修补 措施 。 目 前 ， 用 于 网 络 设备 漏洞 扫描 的 软件 主要 有 
以 下 几 种 : 

(1) 端口 扫描 工具 。 利 用 Nmap 工具 ， 可 以 查看 网 络 设备 开放 的 端口 或 服务 。 

(2) 通用 漏洞 扫描 器 。 使 用 Shadow Scanner、OpenVAS、Metasploit 可 以 发 现 网 络 设备 

(3) 专用 漏洞 扫描 器 。Cisco Torch、CAT (Cisco Auditing Tool) 可 以 检查 Cisco 路 由 设备 
常见 的 漏洞 。 


3. 网 络 设备 漏洞 修补 


网 络 设备 安全 漏洞 的 处 理 方法 如 下 : 
(1) 修改 配置 文件 。 用 户 调整 网 络 设备 配置 就 可 修补 漏洞 ， 常 见 漏洞 是 默认 口令 、 开 放 不 
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必要 的 服务 、 敏 感 数据 未 加 密 等 。 

(2) 安全 漏洞 利用 限制 。 针 对 网 络 设备 的 安全 漏洞 触发 条 件 ， 限 制 漏洞 利用 条 件 。 例 如 ， 
利用 网 络 设备 访问 控制 ， 限 制 远程 计算 机 访问 网 络 设备 。 

(3) 服务 替换 。 针 对 网 络 设备 的 非 安 全 服务 , 使 用 安全 服务 蔡 换 。 如 使 用 SSH 蔡 换 Telnet。 
启用 IPSec 服务 。 

(4) 软件 包 升 级 。 针 对 网 络 设备 的 软件 实现 产生 的 漏洞 ， 通 过 获取 厂商 的 软件 包 ， 升 级 网 
络 设备 的 软件 。 


21.5 ”本 章 小 结 


交换 机 、 路 由 器 是 实现 网 络 通信 的 主要 设备 , 其 安全 性 和 健壮 性 将 直接 影响 网 络 的 可 用 性 。 
本 章 主 要 围绕 交换 机 、 路 由 器 的 安全 问题 进行 了 讨论 ， 内 容 包括 认证 机 制 、 访 问 控制 、 信 息 加 
密 、 安 全 通信 、 日 志 审计 等 几 个 方面 ， 并 总 结 归纳 了 交换 机 、 路 由 器 的 安全 增强 技术 方法 ; 然 
后 给 出 了 交换 机 和 路 由 器 的 安全 配置 实例 ， 最 后 给 出 了 网 络 设备 的 常见 漏洞 及 解决 方法 。 
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22.1 网 站 安全 威胁 与 需求 分 析 


网 站 安全 保护 是 网 络 安全 的 重要 工作 之 一 ， 本 节 主要 曾 述 网 站 安全 的 相关 概念 、 网 站 安全 
问题 分 析 、 网 站 安全 需求 。 
22.1.1 网 站 安全 概念 

网 站 是 一 个 基于 B/S 技术 架构 的 综合 信息 服务 平台 , 主要 提供 网 页 信息 及 业务 后 台 对 外 接 
口服 务 ， 如 图 22-1 所 示 。 一 般 网 站 涉及 网 络 通信 、 操 作 系统 、 数 据 库 、Web 服务 器 软件 、Web 


应 用 、 浏 览 器 、 域 名 服务 以 及 HTML、XML、SSL、Web Services 等 相关 协议 ， 同 时 ， 网 站 还 
有 防火 墙 、 漏 洞 扫描 、 网 页 防 算 改 等 相关 的 安全 措施 。 


http | 1 | focom| / |showjsp| 2 | loginrdoe& 
pass=xyZ 
1 
1 SS 
1 
1 
1 
1 
| »| 和 
1 httpi//foo.com/show.jsp? 
| login=doe&pass=xyZ 
Web 服 务 器 ”应 用 服务 器 
ee 1 互联 网 | 
WE 数据 库 服务 器 
1 库 8 
| (MySQL,Orcle,IBM 
| DBM) 


22-1 网 站 组 成 结构 示意 图 


网 站 安全 主要 是 有 关 网 站 的 机 密 性 、 完 整 性 、 可 用 性 及 可 控 性 。 网 站 的 机 密 性 是 指 网 站 信 
息 及 相关 数据 不 被 授权 查看 或 泄露 。 网 站 的 完整 性 是 指 网 站 的 信息 及 数据 不 能 非 授权 修改 ， 网 
站 服务 不 被 劫持 。 网 站 的 可 用 性 是 指 网 站 可 以 持续 为 相关 用 户 提供 不 中 断 的 服务 的 能 力 ， 满 足 
用 户 的 正常 请 求 服务 。 网 站 的 可 控 性 是 指 网 站 的 责任 主体 及 运营 者 对 网 站 的 管理 及 控制 的 能 
力 ， 网 站 不 能 被 恶意 利用 。 
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22.1.2 ”网 站 安全 分 析 


网 站 已 经 成 为 各 单位 开展 业务 工作 的 平台 , 也 是 对 外 服务 的 窗口 , 其 安全 性 日 益 受到 关注 。 
目前 ， 网 站 面临 多 个 方面 的 安全 威胁 ， 其 主要 威胁 如 下 。 


1. 非 授权 访问 


网 站 的 认证 机 制 的 安全 缺陷 导致 网 站 服务 及 信息 被 非 授权 访问 。 攻 击 者 通过 口令 猜测 及 
“ 撞 库 ”攻击 技术 手段 ， 获 取 网 站 用 户 的 访问 权限 。 


2. 网 页 自 改 


网 站 相关 的 组 件 存在 安全 隐患 ， 被 攻击 者 利用 ， 恶 意 自 改 网 页 。 例 如 ， 网 页 上 传 文件 功能 
存在 漏洞 ， 攻 击 者 利用 该 漏洞 把 相关 的 网 页 信息 蔡 换 。 或 者 网 站 服务 器 的 操作 系统 存在 远程 访 
问 漏洞 ， 攻 击 者 进入 网 站 服务 器 ， 修 改 网 页 文件 。 


3. 数据 泄露 


网 站 的 访问 控制 措施 不 当 ， 导 致 外 部 非 授权 用 户 获取 敏感 数据 。 例 如 ，Web 应 用 程序 存在 
SQL 注入 漏洞 ， 攻 击 者 可 以 从 外 部 将 网 站 的 后 台数 据 库 下 载 。 


4. 恶意 代码 


网 页 木马 是 一 个 含有 恶意 功能 的 网 页 文件 ， 其 目的 是 使 得 网 页 访问 者 自动 下 载 设 置 好 
的 木马 程序 并 执行 。 网 页 木马 将 导致 用 户 账户 密码 私密 信息 泄露 、 终 端 设 备 被 黑客 连接 控制 。 
如 图 22-2 所 示 ， 攻 击 者 通过 网 站 挂 马 ， 然 后 将 用 户 引 向 攻击 者 所 控制 的 网 站 。 


用 户 访问 请 求 请 
挂 马 网 站 


将 用 户 请 求 重 定向 到 攻击 网 站 


用 户 应 用 程序 
用 户 访问 请 求 | 
攻击 网 站 


图 22-2 基于 网 站 挂 马 攻击 用 户 示意 图 


$5. 网 站 假冒 


攻击 者 通过 网 站 域名 欺骗 、 网 站 域名 支持 、 中 间 人 等 技术 手段 ， 诱 骗 网 站 用 户 访问 以 获取 
敏感 信息 或 提供 恶意 服务 。 例 如 ， 攻 击 者 伪造 某 个 网 上 银行 域名 ， 用 户 不 知 真 假 ， 却 按 银行 要 
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求 输入 账号 和 密码 ， 攻 击 者 从 而 获取 银行 账号 信息 。 网 络 钓 鱼 者 利用 代理 技术 ， 操 纵 网 络 通信 
服务 ， 如 图 22-3 所 示 。 当 客户 与 真实 的 服务 器 通信 时 都 要 通过 钓鱼 者 控制 的 服务 器 ， 因 此 客户 
的 秘密 信息 都 被 钓鱼 者 获取 。 


图 22-3 “中 间 人 攻击 ”钓鱼 示意 图 


6. 拒绝 服务 


攻击 利用 目标 网 站 的 带宽 资源 有 限 性 以 及 TCP/IP 协议 的 安全 缺陷 ， 针 对 目标 网 站 发 起 
DDoS/DoS 攻击 , 使 得 用 户 无 法 正常 访问 网 站 服务 。 常 见 的 网 站 拒绝 服务 攻击 技术 有 UDP 洪水 
(UDP Flood) 、ICMP 洪水 ( ICMP Flood) 、SYN 洪水 ( SYN Flood) 、HTTP 洪水 (HTTP 
Flood) 。 攻 击 者 利用 专用 拒绝 服务 工具 发 起 攻击 。 


7. 网 站 后 台 管 理 安全 威胁 


网 站 后 台 管 理 是 网 站 的 控制 中 心 ， 一 旦 失去 控制 ， 网 站 的 安全 就 难以 保障 。 网 站 后 台 管理 
的 安全 主要 涉及 管理 员 账号 安全 性 、 后 台 管理 程序 安全 性 、 内 部 管理 权限 安全 性 。 常 见 的 后 台 
管理 问题 包括 以 下 几 个 方面 

(1) 网 站 管理 员 身份 及 密码 被 窃取 。 

后 台 管理 页 面 缺 少 安全 限制 ， 外 部 任何 人 都 可 以 访问 和 尝试 登录 ， 导 致 管理 员 的 口令 被 猜测 。 

(2) 后 台 管理 网 页 存在 安全 漏洞 。 

管理 认证 应 用 程序 缺少 安全 性 输入 检查 ， 导 致 SQL 注入 攻击 ， 或 者 存在 认证 旁 路 。 

(3) 内 部 管理 权限 分 配 不 合理 。 

网 站 安全 管理 没有 细 分 系统 管理 、 网 页 发 布 、 安 全 审计 等 角色 , 导致 管理 员 权限 过 于 集中 
形成 内 部 安全 隐患 。 


22.1.3 ”网 站 安全 需求 


网 站 安全 需求 涉及 多 个 方面 ， 主 要 包括 物理 环境 、 网 络 通信 、 操 作 系统 、 数 据 库 、 应 用 
服务 器 、Web 服务 软件 、Web 应 用 程序 、 数 据 等 安全 威胁 防护 。 同 时 ， 网 站 运行 维护 需要 建 
立 一 个 相应 的 组 织 管理 体系 以 及 相应 的 安全 运 维 工具 和 平台 。 网 站 作为 一 个 业务 运行 承载 平 
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台 ， 其 相关 业务 必须 符合 国家 法 律 政策 要 求 ， 如 内 容 安全 、 等 级 保护 、 安 全 测评 以 及 数据 存 
储 安全 要 求 。 


22.2 Apache Web 安全 分 析 与 增强 


Apache Httpd 是 常用 的 构建 网 站 服务 器 的 软件 ， 简 称 Apache Web。 本 节 主 要 分 析 Apache 
Web 的 安全 性 及 安全 机 制 ， 然 后 给 出 Apache Web 的 安全 增强 措施 。 


22.2.1 _ Apache Web 概述 


Apache Httpd 是 一 个 用 于 搭建 Web 服务 器 的 开源 软件 , 目前 应 用 非常 广泛 。 最 新 的 Apache 
可 以 到 官方 网 址 找到 。 该 站 点 包含 了 Apache ”Httpd 的 最 新 稳定 版 、 最 新 发 行 测试 版 、 补 丁 程 
序 、 第 三 方 提供 的 模块 等 。Apache Httpd 配置 文件 如 下 。 


1. httpd.conf 


httpd.conf 是 Apache 的 主 配置 文件 ，httpd 程序 启动 时 会 先 读 取 httpd.conf。 该 文件 设 定 
Apache 服务 器 一 般 的 属性 、 端 口 、 执 行者 身份 等 。 


2. conf/srm.conf 


conf/srm.conf 是 数据 配置 文件 ， 在 这 个 文件 中 主要 设置 WWW Server 读 取 文件 的 目录 、 目 
录 索 引 时 的 画面 、CGI 执行 时 的 目录 等 。srm.conf 不 是 必需 的 ， 可 以 完全 在 httpd.conf 里 设 定 。 


3. conf/access.conf 


access.conf 负责 基本 的 读 取 文 件 控制 ， 限 制 目录 所 能 执行 的 功能 及 访问 目录 的 权限 ， 设 置 
access.conf 不 是 必需 的 ， 可 以 在 httpd.conf 里 设 定 。 


4. conf/mime.conf 


mime.conf 设 定 Apache 所 能 辨别 的 MIME 格式 ,一 般 而 言 ,无 须 动 此 文件 。 若 要 增加 MIME 
格式 ， 可 参考 srm.conf 中 AddType 的 语法 说 明 。 


22.2.2 Apache Web 安全 分 析 
Apache Web 主要 面临 以 下 安全 威胁 。 
1. Apache Web 软件 程序 威胁 


Apache 软件 包 自 身 存在 安全 隐患 。 攻 击 者 利用 Apache 软件 程序 漏洞 来 攻击 网 站 ， 特 别 是 
一 些 具有 缓冲 区 溢出 漏洞 的 程序 。 攻 击 者 编写 的 一 些 漏洞 利用 程序 ， 使 得 Apache 服务 失去 控 
制 ， 一 旦 缓冲 区 溢出 成 功 ， 攻 击 者 可 以 执行 其 恶意 指令 。 
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2. Apache Web 软件 配置 威胁 


攻击 者 利用 Apache 网 站 管理 配置 漏洞 ,访问 网 站 敏感 信息 。 典 型 实例 有 目录 索引 (Directory 
Indexing) 、 资 源 位 置 预测 (Predictable Resource Location) 、 信 息 泄露 (Information Leakage) 。 

3.Apache Web 安全 机 制 威胁 

攻击 者 利用 Apache 安全 机 制 的 漏洞 ， 进 行 攻击 非 授权 访问 的 Apache 服务 ， 典型 实例 有 


令 暴 力 攻击 (Brute Force)、 授 权 不 当 (Insufficient Authorization)、 弱 口令 恢复 验证 (Weak Password 
Recovery Validation) 。 


4. Apache Web 应 用 程序 威胁 


攻击 者 利用 Apache 应 用 程序 漏洞 来 攻击 网 站 ， 攻 击 者 编写 的 一 些 漏洞 利用 程序 ， 使 得 
Apache 服务 失去 控制 ,攻击 者 可 以 执行 其 恶意 指令 ,典型 实例 有 SQL 注入 、 输 入 验证 错误 (Input 
Validation Error) 。 


S. Apache Web 服务 通信 威胁 


Apache 一 般 情况 下 使 用 的 HITP 协议 是 明文 传递 的 , 攻击 者 可 以 通过 监听 手段 获取 Apache 
服务 器 和 浏览 器 之 间 的 通信 内 容 。 


6. Apache Web 服务 内 容 威胁 


攻击 者 利用 网 站 服务 的 漏洞 ， 修 改 网 页 信息 或 者 发 布 虚 假 信息 。 典 型 实例 有 网 页 恶意 算 改 
和 网 络 钓鱼 。 


7.Apache Web 服务 器 拒绝 服务 威胁 


攻击 者 通过 某 些 手 段 使 服务 器 拒绝 对 HTTP 应 答 。 这 使 得 Apache 对 系统 资源 (CPU 时 间 
和 内 存 ) 需求 剧 增 ， 最 终 造成 系统 变 慢 甚 至 完全 瘫痪 。 


22.2.3 ”Apache Web 安全 机 制 
Apache Web 主要 有 以 下 安全 机 制 。 
1. Apache Web 本 地 文件 安全 


Apache 安装 后 默认 设置 的 文件 属 主 和 权限 是 比较 合理 与 安全 的 , 具体 如 下 。 如 果 本 地 用 户 
比较 多 ， 可 以 按照 手册 的 要 求 稍 做 修改 。 


# chown -R root.root /usr/local/apache 


# chmod 511 /usr/local/apache/bin/httpd 
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# chmod 600 /usr/local/apche/logs/*log 


2. Apache Web 模块 管理 机 制 


Apache 软件 体系 采用 模块 化 结构 ， 这 使 得 Apache 的 功能 可 以 灵活 配置 。 当 Apache 服务 
不 需要 某 项 功能 时 ， 就 可 以 通过 配置 方式 ， 禁 止 相应 的 模块 。 例 如 ， 通 过 配置 可 以 关闭 SSL 模 
块 功能 ， 具 体 如 下 : 


# SSL BASE=../your open ssl home \ 
./configure \ 
--enable-module=so \ 
--enable-module=ssl \ 
--disable-module=negotiation \ 
--disable-module=status \ 
--disable-module=include \ 
--disable-module=autoindex \ 
--disable-module=asis \ 
--disable-module=imap \ 
--disable-module=actions \ 
--disable-module=userdir \ 
--disable-module=alias \ 
--disable-module=auth \ 


--disable-module=setenvif \ 


在 Apache 安全 配置 过 程 中 ，Apache 模块 化 控制 机 制 可 以 非常 好 地 适应 安全 需求 的 变化 ， 
用 户 可 以 卸载 或 增强 某 项 功能 。 


3. Apache Web 认证 机 制 


Apache 提供 了 非常 简单 方便 的 用 户 认证 机 制 。 比 如 ， 若 要 对 /user/local/apache/htdocs/secret 
目录 进行 访问 控制 ， 则 认证 启用 过 程 如 下 。 
第 一 步 ， 在 Apache 的 配置 文件 httpd.conf 里 加 入 以 下 内 容 : 
<Directory "usr/local/apache/htdocs/secret"> 
Options Indexed FollowSymLinks MultiViews 
AllowOverride AuthConfig 
Order allow ,deny 
Allow from all 


< /Directory > 
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第 二 步 ， 在 /hser/local/apache/htdocs/secret 目录 下 建立 文件 .htaccess， 文 件 内 容 如 下 : 


AuthName "private"™ 
AuthType Basic 
AuthUserFile /usr/local/apache/conf/passwd 


Require valid-user 
第 三 步 ， 用 Apache 提供 的 htpasswd 命令 来 创建 用 户 ， 具 体 如 下 : 
# /usr/local/apache/bin/htpasswd -c /usr/local/apache/conf/passwd testuser 


其 中 ，-c 表示 是 新 建 口令 文件 ， 另 外 再 添加 用 户 就 不 需要 使 用 -c 参数 了 。 上 面 的 .htaccess 
文件 最 后 一 行 定义 了 Require valid-user， 它 的 意思 是 允许 所 有 合法 用 户 。 


4. 连接 耗 尽 应 对 机 制 


网 站 最 容易 受到 攻击 ， 当 攻击 者 发 起 大 量 http 连接 ， 但 不 发 送 任何 数据 ， 而 是 等 待 超时 ， 
将 造成 Apache 服务 器 达到 最 大 客户 连接 限制 ， 从 而 造成 其 他 正常 的 用 户 无 法 再 正常 访问 网 站 。 
此 时 Apache 的 access_log 里 会 出 现 大 量 错误 信息 ， 出 错 408〈 请 求 超时 ) 的 日 志 ， 内 容 如 下 。 
如 果 网 站 服务 器 的 内 存 和 swap 空间 比较 少 ， 甚 至 会 导致 一 些 服务 器 崩溃 。 


192.168.0.1 - - [12/Mar/2006:01:12:34 +0800] "-" 408 - 
192.168.0.1 - - [12/Mar/2006:01:12:35 +0800] "-" 408 - 
192.168.0<1.- = [12/Mar/2006:01:12:35. 40800] ”=* #408 = 


针对 这 种 类 型 的 攻击 ，Apache 软件 提供 以 下 几 种 解决 方法 : 
(1) 减少 Apache 超时 〈Timeout) 设置 、 增 大 MaxClients 设置 。 例 如 ， 修 改 httpd.conf 配 
置 文件 ， 有 具体 如 下 : 


Timeout 30 


MaxClients 256 


但 是 , MaxClients 设置 得 越 大 , 则 要 求 内 存 也 越 大 , 否则 可 能 会 由 于 进程 过 多 导致 内 存 占 满 。 

(2) 限制 同一 卫 的 最 大 连接 数 。 

除了 用 防火 墙 流量 限制 功能 来 完成 这 项 工作 外 ， 还 可 以 使 用 xinetd 来 启动 Apache，xinetd 
中 有 一 个 参数 per_source 可 以 进行 设置 。 但 是 ， 对 于 访问 量 大 的 Web 服务 器 ， 使 用 xinetd 可 能 
会 造成 性 能 下 降 。 由 于 这 种 全 连接 攻击 无 法 伪造 卫 ， 源 人 P 总 是 真实 的 ， 所 以 ， 可 以 通过 防火 
墙 或 路 由 器 来 屏蔽 该 攻击 源 耳 的 访问 。 
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(3) 多 线程 下 载 保护 机 制 。 
用 户 多 线程 下 载 对 服务 器 的 负载 非常 重 ， 可 能 会 导致 服务 器 僵 死 。 比 较 简单 的 解决 方法 是 
根据 User Agent 判断 ， 把 已 知 的 多 线程 工具 都 禁止 掉 。 


5. Apache Web 自 带 的 访问 机 制 

基于 IP 地 址 或 域名 的 访问 控制 是 Apache 提供 的 一 种 根据 客户 机 的 卫 地 址 或 域名 信息 进 
行 网 站 访问 授权 控制 的 措施 。Apache 的 access.conf 文件 负责 设置 文件 的 访问 权限 , 可 以 实现 互 
联网 域名 和 人 P 地 址 的 访问 控制 。 它 包含 一 些 指 令 ， 控 制 允 许 什 么 用 户 访问 Apache 目录 。 最 佳 


安全 配置 首先 把 deny from all 设 为 初始 化 指令 ， 然 后 再 使 用 allow from 指令 打开 访问 权限 。 例 
如 ， 如 果 人 允许 192.168.X.Y 到 192.168XX 的 主机 访问 ， 则 可 以 配置 如 下 : 


order deny,allow 
deny from all 
allow from pair 192.168.X.0/255.255.255.0 


6. Apache Web 审计 和 日 志 

Apache 提供 一 个 记录 所 有 访问 请 求 的 机 制 , 而 且 错 误 的 请 求 也 会 记录 。 这 些 请 求 记录 存放 
在 access.log 和 error.log 两 个 文件 中 ， 其 中 : 

。 ”access.log 记录 对 Web 站 点 的 每 个 进入 请 求 。 

。 ”error.log 记录 产生 错误 状态 的 请 求 。 


7. Apache Web 服务 器 防范 DoS 


Apache 服务 器 对 拒绝 服务 攻击 的 防范 主要 通过 软件 Apache DoS Evasive Maneuvers 
Module 来 实现 。 该 软件 可 以 快速 拒绝 来 自 相同 地 址 对 同一 URL 的 重复 请 求 ， 通 过 查询 内 部 一 
张 各 个 子 进程 的 Hash 表 来 实现 。 


22.2.4 Apache Web 安全 增强 
Apache Web 的 安全 增强 措施 主要 如 下 。 
1. 及 时 安装 Apache Web 补丁 


网 站 管理 员 要 经 常 关 注 Apache 官方 网 址 公布 的 HTTP 服务 器 软件 包 缺 陷 修正 和 升级 信息 ， 
及 时 升级 系统 或 添加 补丁 。 使 用 最 高 和 最 新 安全 版 本 可 以 加 强 Apache Web 软件 的 安全 性 。 


2. 启用 .htaccess 文件 保护 网 页 


-htaccess 文件 是 Apache 服务 器 上 的 一 个 配置 文件 。.htaccess 的 功能 包括 设置 网 页 密码 、 设 
置 发 生 错误 时 出 现 的 文件 、 改 变 首页 的 文件 名 〈 如 index.html) 、 禁 止 读 取 文件 名 、 重 新 导向 
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文件 、 加 上 MIME 类 别 、 禁 止 列 目录 下 的 文件 等 。 
3. 为 Apache Web 服务 软件 设置 专门 的 用 户 和 组 


按照 最 小 特权 原则 ,给 Apache Web 服务 程序 分 配 一 个 合适 的 权限 ， 让 其 能 够 完成 Web 服 
务 。 必 须 保证 Apache 使 用 一 个 专门 的 用 户 和 用 户 组 , 不 要 使 用 系统 预定 义 的 账号 , 比如 nobody 
用 户 和 nogroup 用 户 组 。 


4. 隐藏 Apache Web 软件 的 版 本 号 


通常 来 说 软件 的 漏洞 信息 和 特定 版 本 是 相关 的 ， 因 此 ， 版 本 号 对 黑客 来 说 是 最 有 价值 的 。 
默认 情况 下 ， 系 统 会 把 Apache 的 版 本 系统 模块 都 显示 出 来 。Apache Web 软件 包 版 本 号 的 屏蔽 
方法 是 ， 修 改 配置 文件 httpd.conf， 找 到 关键 字 ServerSignature 和 ServerTokens， 将 其 参数 设 定 
为 ServerSignature Off 和 ServerTokens Prod， 然 后 重新 启动 Apache 服务 器 。 


S. Apache Web 目录 访问 安全 增强 


对 于 可 以 访问 的 Web 目录 ， 要 使 用 相对 安全 的 途径 进行 访问 ， 不 要 让 用 户 查看 到 任何 目 
录 索 引 列表 ， 具 体 要 求 如 下 : 

〈1) 设 定 禁止 使 用 目录 索引 文件 Apache 服务 器 在 接收 到 用 户 对 一 个 目录 的 访问 请 求 时 ， 
会 查找 DirectoryIndex 指令 指定 的 目录 索引 文件 。 默 认 情况 下 该 文件 是 index，html。 如 果 该 
文件 不 存在 , 那么 Apache 会 创建 动态 列表 为 用 户 显示 该 目录 的 内 容 。 通 常 这 样 的 设置 会 暴露 
Web 站 点 结构 ， 因 此 需要 修改 配置 文件 禁止 显示 动态 目录 索引 。 按 如 下 方式 修改 配置 文件 
httpd.conf: 


Options -Indexes FollowSymLinks 

Options 指令 通知 Apache 禁止 使 用 目录 索引 。FollowSymLinks 表示 不 允许 使 用 符号 链接 。 

(2) 禁止 默认 访问 。 首 先 禁止 默认 访问 ， 只 对 指定 目录 开启 访问 权限 ， 如 果 允 许 访 问 
/var/www/html 目录 ， 使 用 如 下 设 定 : 


Order deny,allow 


Allow from all 


(3) 禁止 用 户 重 载 。 禁 止 用 户 对 目录 配置 文件 .htaccess) 进行 重 载 〈 修 改 ) ， 使 用 如 下 
设 定 : 


AllowOverride None 


6. Apache Web 文件 目录 保护 
Apache Web 文件 目录 安全 设置 可 以 通过 操作 系统 来 实现 ， 对 于 不 同 的 目录 ， 最 佳 安全 实 
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践 如 下 。 
(1) ServerRoot 保存 配置 文件 (conf 子 目录 ) 、 二 进 制 文件 和 其 他 服务 器 配置 文件 。conf 
的 属 主 和 权限 设置 如 下 : 


# chown -R root:webadmin /usr/local/apache/conf 
# chmod -R 600 /usr/local/apache/conf 
# chmod 664 /usr/local/apche/conf/password 


(2) DocumentRoot 保存 Web 站 点 的 内 容 ， 包 括 HTML 文件 和 图 片 等 。DocumentRoot 的 
属 主 和 权限 设置 如 下 : 


# chown -R root:webdev /usr/local/apache/htdocs 


# chmod -R 664 /usr/local/apache/htdocs 
(3) Apache 服务 器 CGI 目录 的 属 主 和 权限 设置 如 下 : 


# chown -R root:webadmin /usr/local/apache/cgi-bin 


# chmod -R 555 /usr/local/apache/cgi-bin 
(4) Apache 服务 器 执行 目录 的 属 主 和 权限 设置 如 下 : 


# chown -R root:webadmin /usr/local/apache/bin 


# chmod -R 550 /usr/local/apache/ bin 
(5) Apache 服务 器 日 志 目 录 的 属 主 和 权限 设置 如 下 : 


# chown -R root:webadmin /usr/local/apache/logs 


# chmod -R 664 /usr/local/apache/ logs 


7. 删除 Apache Web 默认 目录 或 不 必要 的 文件 


Apache 默认 目录 或 不 必要 的 文件 通常 会 给 Apache 服务 器 带 来 安全 威胁 , 为 了 增强 Apache 
的 安全 ， 建 议 将 其 删除 。Apache 需要 删除 的 默认 目录 或 不 必要 的 文件 如 下 : 

。 ”Apache 源 代码 文件 ; 

。 默认 HIML 文件 ; 

。 CGI 程序 样 例 ; 

。 ”默认 用 户 文件 。 
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8. 使 用 第 三 方 软件 安全 增强 Apache Web 服务 


(1) 构建 Apache Web 服务 器 “安全 沙 箱 ”。 

所 谓 “ 安 全 沙 箱 ” 是 指 通 过 chroot 机 制 来 更 改 某 个 软件 运行 时 所 能 看 到 的 根 目录 ， 即 将 某 软 
件 运行 限制 在 指定 目录 中 ， 保 证 该 软件 只 能 对 该 目录 及 其 子 目录 的 文件 有 所 动作 ， 从 而 保证 整 
个 服务 器 的 安全 。 这 样 即 使 被 破坏 或 侵入 ， 服 务 器 的 整体 也 不 会 受到 损害 。 可 以 用 jail 软件 包 
来 帮助 简化 建立 Apache Web chroot 安全 机 制 。 

(2) 使 用 Open SSL 增强 Apache Web 安全 通信 。 

使 用 具有 SSL 安全套 接 字 层 协 议 ) 功能 的 Web 服务 器 ， 可 以 提高 Apache 网 站 的 安全 。 
SSL 使 用 加 密 方法 来 保护 Web 服务 器 和 浏览 器 之 间 的 信息 流 。 SSL 不 仅 用 于 加 密 在 互联 网 上 传 
递 的 数据 流 ， 而 且 还 提供 双方 身份 验证 。 这 种 特性 使 得 SSL 适用 于 那些 交换 重要 信息 的 活动 ， 
如 电子 商务 和 基于 Web 的 邮件 。 

(3) 增强 Apache Web 服务 器 访问 控制 。 

使 用 TCP Wrappers 强化 Apache Web 服务 器 访问 控制 ， 如 图 22-4 所 示 。 
TCP 


Wrappers 
检测 访问 控 


inetd 接 收 
本 


网 络 > 客户 请 求 辣 控 / 允许 访问 


请 求 


不 允许 访问 


请 求 被 丢弃 


22-4 ”TCP Wrappers 访问 控制 过 程 示意 图 

部 署 TCP Wrappers 的 Web 服务 器 ， 可 以 通过 配置 TCP Wrappers 的 hosts.allow、hosts.deny 
文件 ， 指 定 人 P 地 址 访问 特定 的 服务 。 
22.3 IIS 安全 分 析 与 增强 

IIS 是 Microsoft 公司 提供 的 Web 服务 器 软件 ,本 节 首 先 分 析 IIS 的 安全 性 问题 和 安全 机 制 ， 
然后 给 出 IS 的 安全 增强 措施 。 
22.3.1 Is 概述 

IS (Intemet Information Services) 是 Microsoft 公司 的 Web 服务 软件 的 简称 ， 主 要 提供 


Web 服务 。IIS 从 最 初 的 1.0 版 本 已 经 发 展 到 10.0 版 本 。IHS 由 若干 个 组 件 构成 ， 每 个 组 件 负责 
相应 的 功能 ， 协 同 处 理 HTTP 请 求 过 程 ， 如 图 22-5 所 示 。 
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22-5 IIS 各 组 件 协同 处 理 HTTP 请 求 过 程 示意 图 


IIS 处 理 HITP 请 求 的 步骤 如 下 : 

(1) HITPsys 接收 到 客户 的 HTTP 请 求 ; 

(2) HTTP sys 联系 WAS (Windows Process Activation Service) ， 从 配置 库 中 获取 信息 ; 
(3) WAS 从 配置 库 applicationHost.config 中 请 求 配置 信息 ; 

(4) WWW Service 接收 配置 信息 ， 例 如 应 用 池 和 站 点 配置 ; 

(5) WWW Service 使 用 这 些 配置 信息 设置 HITP sys; 

(6) WAS 针对 请 求 ， 为 应 用 池 启 动工 作 进程 ; 

(7) 工作 进程 处 理 请 求 和 返回 HITP sys 的 响应 ; 

(8) 客户 接收 到 响应 。 


22.3.2 IS 安全 分 析 


IIS 经 历 了 许多 安全 网 络 攻击 ， 归 纳 起 来 ，IIS 的 典型 安全 威胁 如 下 : 

。 ” 非 授 权 访 问 。 攻击 者 通过 TS 的 配置 失误 或 系统 漏洞 , 如 弱 口 令 , 非法 访问 IS 的 资源 ， 
甚至 获取 系统 控制 权 。 

。 ”网 络 蠕虫 。 攻 击 者 利用 IS 服务 程序 缓冲 区 溢出 漏洞 ,构造 网 络 蠕虫 攻击 。 例如,“ 红 
色 代 码 ” 网 络 蠕虫。 

。 ”网 页 算 改 。 攻 击 者 利用 IS 网 站 的 漏洞 ， 亚 意 修改 IS 网 站 的 页 面 信息 。 
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。 ”拒绝 服务 。 攻 击 者 通过 某 些 手段 使 HS 服务 器 拒绝 对 HTTP 应 答 , 引起 IS 对 系统 资源 
需求 的 剧 增 , 最 终 造成 系统 变 慢 , 甚至 完全 瘫痪 , 例如, 分 布 式 拒绝 服务 攻击 (DDoS ) 。 

。 IIS 软件 漏洞 。IIS 的 CVE 漏洞 涉及 拒绝 服务 、 代 码 执 行 、 溢 出 、 特 权 提 升 、 安 全 旁 
路 、XSS、 内 存 破坏 、 信 息 泄 露 等 。 


22.3.3 “lS 安全 机 制 
IIS 的 安全 机 制 主要 包括 IS 认证 机 制 、IS 访问 控制 、IIS 日 志 审计 。 
1.IIS 认证 机 制 


IIS 支持 多 种 认证 方式 ， 主 要 包括 如 下 内 容 : 

e ”匿名 认证 (Anonymous Authentication) ， 当 其 他 认证 措施 都 缺失 的 时 候 ， 实 施 匿名 认证 。 

。 ”基本 验证 (Basic Authentication) ， 提 供 基本 认证 服务 。 

。 ”证 书 认证 (Certificate Mapping Authentication) ， 实 施 基于 活动 目录 (Active Directory) 
的 证 书 认 证 。 

e ”数字 签名 认证 (Digest Authentication) ， 实 施 数字 签名 认证 。 

。 IIS 证 书 认证 (IIS Certificate Mapping Authentication) ， 实 施 按照 IS 配置 开展 的 证 书 
认证 。 

。 Windows 认证 (Windows Authentication) ， 集 成 (NTLM) 身份 验证 。 

2. IIS 访问 控制 


IIS 具有 请 求 过 滤 〈Request Filtering) 、URL 授权 控制 (URL Authorization) 、 了 P 地 址 限 
制 (IP Restriction) 、 文 件 授权 等 访问 控制 措施 。 通 过 URL 扫描 可 以 设置 许可 的 文件 以 及 限制 
的 恶意 字符 串 。 基 于 IP 地 址 的 访问 控制 是 HS 提供 的 一 种 根据 客户 机 的 IP 地 址 信息 进行 网 站 
访问 授权 的 机 制 。 例 如 ， 当 网 站 管理 员 发 现 来 自 某 些 人 P 地 址 的 用 户 具有 攻击 倾向 , 或 者 网 站 管 
理 员 希 望 仅 有 来 自 特定 IP 地 址 的 用 户 才能 够 访问 网 站 ， 这 时 候 就 可 以 启用 基于 IP 地 址 的 访问 
控制 。 

IIS 集成 了 多 种 访问 控制 措施 来 保护 网 站 资源 ， 各 种 访问 控制 机 制 协同 保证 站 点 安全 。 当 
站 点 接 到 来 自用 户 浏览 器 的 访问 请 求 时 ，IIS 的 访问 控制 过 程 如 图 22-6 所 示 。 

IIS 的 访问 控制 流程 分 为 以 下 步 又 : 

(1) 用 户 浏览 器 所 在 计算 机 的 人 P 地 址 是 否 限制 ? 如 果 来 自 受 限 二， 访问 将 被 拒绝 ， 否 则 
进入 下 一 步 验 证 。 

(2) 用 户 身 份 验证 是 否 通过 ? 对 于 非 匿名 访问 的 站 点 ， 要 对 用 户 进行 账号 验证 ， 如 果 使 用 
非法 账号 ， 访 问 将 被 拒绝 ， 和 否则 进入 下 一 步 验证 。 

(3) 在 IS 中 指定 的 Web 权限 是 否 允许 用 户 访 问 ? 如 果 用 户 试图 进行 未 授权 的 访问 , 访问 
将 被 拒绝 ， 否 则 进入 下 一 步 验证 。 
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(4) 用 户 正在 进行 的 操作 请 求 是 否 符合 相应 Web 文件 或 文件 夹 的 NTFS 许可 权限 ? 如 果 
不 符合 ， 访 问 将 被 拒绝 ， 如 果 符合 ， 则 允许 访问 。 
(5) 用 户 通 过 上 述 访问 控制 措施 就 可 以 访问 其 请 求 的 资源 。 


服务 器 接受 请 求 


允许 访问 站 点 拒绝 访问 站 点 


图 22-6 IIS 访问 控制 流程 示意 图 


3. IIS 日 志 审计 


IIS 设置 的 日 志 审计 机 制 ， 能 够 记录 Web 访问 情况 。 此 外 ， 与 HS 相关 的 日 志 审 计 还 有 操 
作 系 统 、 数 据 库 、 应 用 服务 。 


22.3.4 “IS 安全 增强 
IIS 的 安全 增强 措施 主要 有 如 下 几 个 方面 。 
1. 及 时 安装 IS 补丁 


IS 的 安全 漏洞 威胁 到 IS 的 网 站 服务 ， 网 站 维护 人 员 要 及 时 获取 IS 相关 漏洞 信息 ， 有 具体 
可 关注 微软 公司 设立 的 安全 响应 中 心 (Microsoft Security Response Center) 发 布 的 信息 。 


2. 启用 动态 卫 限制 (Dynamic IP Restrictions) 


IIS 启用 动态 人 P 限制 功能 ， 用 于 减缓 拒绝 服务 攻击 及 暴力 口令 猜测 攻击 ， 如 图 22-7 所 示 。 
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@ Dynamic IP Restrictions 


Deny Criteria 
了 克 Deny IP address based on the number of concurrent requests 
Maximum number of concurrent requests 


区 Deny IP Addresses based on number of requests over a period of time 
Maximum number of requests: 
Foo 


Time period (in seconds); 


Deny for tme period (in seconds): 
10 


Deny Action 
Action type; 

Send 403 (Forbidden) -| 
Logging 


区 Log to a file (W3C Format): 


SYSTEMDRIVE%eWnetpubyogsVIPRestrctionLogs Browse,,, 


图 22-7 动态 耳 限制 界面 示意 图 


3. 启用 URLScan 


IIS 启用 URLScan 限制 特定 的 HTTP 请 求 , 可 以 防止 有 和 危害 的 HTTP 请求 危 及 网 站 的 应 用 。 
4. 启用 IS Web 应 用 防火 墙 (Web Application Firewall) 


ThreatSentry 4 是 IS 的 Web 应 用 防火 墙 ， 可 以 识别 和 阻挡 SQL 注入 、DoS、CSRF/XSRF、 
XSS 等 Web 应 用 威胁 ， 如 图 22-8 所 示 。 同 时 ， 它 还 提供 基于 行为 的 入 侵 防 护 (Behavior-based 
Intrusion Prevention〉 以 识别 零 日 攻击 与 目标 定向 攻击 。 


urity Alert Log] 


B46/200 10:3417 aM 
B1200 10:3417 AM 
B41200 10:33:20 aM 


B6120D 10:33:20 aM 
B16/20D 10:3203A 
B48/200 10:3203 aM 
B16/200 9:55:41 aM 


EEEEEEE 


22-8 ”ThreatSentry 4 Web 应 用 防火 墙 安全 报警 界面 示意 图 
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S. 启用 SSL 服务 


IIS 的 网 站 信息 传递 在 通常 情形 下 是 明文 传递 的 ， 敏 感 网 站 数据 在 网 上 传输 的 时 候 容易 泄 
露 。 启 用 IS SSL 服务 后 ， 可 以 保障 IS Web 网 络 通信 安全 ， 如 图 22-9 所 示 。 


有 (aon 
@ SSL Settings . 
5/ Mpply 

This page lets you modify the SSL settings for Bx Ca 
the content of a Web site or application. 7 Help 
克 Reguire SSL Onine Help 

厂 Requre 128-bit SSL 
Clhent certificates: 

人 Ignore 

© Accept 

C Requre 


图 22-9 IIS 设置 SSL 示意 图 


22.4 Web 应 用 漏洞 分 析 与 防护 


网 站 安全 与 Web 应 用 安全 紧密 相关 ， 本 节 分 析 Web 应 用 安全 问题 ， 然 后 给 出 常见 的 应 用 
漏洞 防护 方法 。 


22.4.1 Web 应 用 安全 概述 


Web 应 用 安全 是 网 站 安全 的 重要 组 成 部 分 。 目 前 ， 由 于 Web 应 用 编程 及 程序 语言 的 安全 
问题 ，Web 应 用 系统 存在 多 种 安全 隐患 。 常 见 的 Web 安全 漏洞 有 两 个 方面 : 一 是 技术 安全 漏 
洞 ， 其 漏洞 来 源 是 因为 技术 处 理 不 当 而 产生 的 安全 隐患 ， 如 SQL 注入 漏洞 、 跨 站 脚本 (XSS) 、 
恶意 文件 执行 、 非 安全 对 象 引 用 等 。 二 是 业务 逻辑 安全 漏洞 ， 其 漏洞 来 源 于 业务 工作 流程 及 处 
理 上 因 安全 考虑 不 周 或 处 理 不 当 而 产生 的 安全 隐患 。 如 用 户 找 回 密码 缺陷 ， 攻 击 者 可 重 置 任意 
用 户 密码 ;短信 炸弹 漏洞 ， 攻 击 者 可 无 限制 地 利用 接口 发 送 短信 ， 恶 意 消耗 企业 短信 资费 ， 骚 
扰 用 户 ; 业务 登录 凭证 验证 被 绕 过 ， 进 行业 务 敏感 操作 ;业务 数据 未 安全 验证 证 实 ， 直 接 进 行 
电子 交易 和 处 理 等 。 


22.4.2 OWASP Top 10 


OWASP Top 10 是 国际 开放 Web 应 用 安全 项 目 组 (Open Web Application Security Project, 
OWASP) 推出 的 前 10 个 Web 应 用 漏洞 排名 。 下 面 分 别 介绍 2017 年 版 本 的 OWASP Top 10 的 


1. Al- 注 入 漏洞 (Injection) 
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将 不 受信 任 的 数据 作为 命令 或 查询 的 一 部 分 发 送 到 解析 器 时 ， 导 致 产生 注入 漏洞 ,如 
SQL 注入 漏洞 、NoSQL 注入 漏洞 、OS 注入 漏洞 和 LDAP 注入 漏洞 。 攻击 者 构造 恶意 数据 
输入 诱 使 解析 器 在 没有 适当 授权 的 情况 下 执行 非 预期 命令 或 访问 数据 。 该 漏洞 的 出 现场 景 


举例 如 下 : 
场景 1: SQL 注入 漏洞 。 


1 2php 
2 
3if (isset($_GET['Submit'])) 
41 
5 
6 Retrieve data 
7 $id= $_GeT['id']; 
8 
9 Sgetid ELECT first_name, last_name FROM users WHERE user_id = '$id'"; 
10 Sresult = mysql_query (Sgetid) or die('<pre»' . mysql_error() . ' </pre>'); 
11 
12 Snum = mysql_numrows(Sresult); 
13 
14 $i=0; 
15 
16 while ($i < Snum) 
17 { 
18 
19 Sfirst = mysql_result ($result, $i, "first_name”"); 
20 Slast = mysql_result (Sresult, $i, "last_name"); 
21 
22 echo ' <pre>'; 
23 echo 'ID: ' . $id. 'br)First name: ' . $first . ' br)Surnane: ' . $last; 
24 echo ' /pre>'; 
25 
26 $i++; 
27 } 
28 
29?: 
场景 2: NoSQL 注入 。 
1 $m = new Mongo(); 
2 $db = $m->cmsdb; 
3 $collection = $db-?user; 
4$js = "function() { 
5 return this.username =— "$username' & this. password == '$password'; }"; 


6 $obj = $collection->findOne (array (' $where' => $js)); 


Tif (isset($obj["uid"])) 
81 

9 $logged_in=1; 

10} 

1l else 

121{ 

13 $logged_in=0; 

14} 


场景 3: OS 注入 漏洞 。 


1 int main(int argc, char** argv) { 


2 char cmd[CMD MAX] = "/usr/bin/cat "; 


3 strcat(cmd, argv[1]); 
4 system(cmd); 
5} 


国 40 项。 信息 安全 工程 师 教程 第 2 版 ) 


场景 4: LDAP 注入 漏洞 。 
用 户 获得 授权 查询 某 些 地 区 的 销售 部 门 : 


(| (department=Bejing sales) ) 


攻击 者 将 提交 的 参数 Beijing sales 蔡 换 为 Shenzhen sales (department=*) , * 字 符 为 LDAP 
的 通配符 ， 变 化 后 为 : 


(| (department=Shenzhen sales) (department=*)) 
2. A2- 遭 受 破坏 的 认证 (Broken Authentication) 


Web 应 用 程序 存在 不 限制 身份 验证 尝试 、Web 会 话 令 牌 泄露 、Web 应 用 会 话 超时 设置 不 
正确 、Web 应 用 口令 复杂 性 不 高 和 允许 使 用 历史 口令 等 问题 ， 从 而 导致 Web 应 用 认证 机 制 受 
到 破坏 。 攻 击 者 能 够 破译 密码 、 密 钥 或 会 话 令 牌 ， 或 者 利用 其 他 开发 缺陷 来 暂时 性 或 永久 性 地 
冒充 其 他 用 户 的 身份 。 


3. A3- 敏 感 数据 暴露 漏洞 (Sensitive Data Exposure) 


许多 Web 应 用 程序 和 API 都 无 法 正确 保护 敏感 数据 ， 例 如 ， 财 务 数据 、 医 疗 数据 和 PI 
数据 。 攻击 者 可 以 通过 窃取 或 修改 未 加 密 的 数据 来 实施 信用 卡 诈骗 、 身份 盗窃 或 其 他 犯罪 行为 。 
未 加 密 的 敏感 数据 容易 受到 破坏 ， 因 此 ， 我 们 需要 对 敏感 数据 加 密 。 这 些 数据 包括 传输 过 程 中 
的 数据 、 存 储 的 数据 及 浏览 器 的 交互 数据 。 该 漏洞 的 出 现场 景 举 例如 下 : 

场景 1: 一 个 应 用 程序 使 用 自动 化 的 数据 加 密 系 统 加 密 信 用 卡 信息 ， 并 存储 在 数据 库 中 。 但 
是 ， 当 数据 被 检索 时 被 自动 解密 ， 这 就 使 得 SQL 注入 漏洞 能 够 以 明文 形式 获得 所 有 信用 卡 卡号 。 

场景 2: 一 个 网 站 上 对 所 有 网 页 没有 使 用 或 强制 使 用 TLS， 或 者 使 用 弱 加 密 。 攻 击 者 通过 
监测 网 络 流量 (如 : 不 安全 的 无 线 网 络 ) ， 将 网 络 连接 从 HITPS 降级 到 HTTP， 就 可 以 截取 请 
求 并 窃取 用 户 会 话 cookie。 之 后 , 攻击 者 可 以 复制 用 户 cookie 并 成 功 劫持 经 过 认证 的 用 户 会 话 、 
访问 或 修改 用 户 个 人 信息 。 除 此 之 外 ， 攻 击 者 还 可 以 更 改 所 有 传输 过 程 中 的 数据 ， 例 如 : 转 款 
的 接收 者 。 


4. A4-XML 外 部 实体 引用 漏洞 (XML External Entities，XXE) 


许多 较 早 的 或 配置 错误 的 XML 处 理 器 评估 了 XML 文件 中 的 外 部 实体 引用 。 攻 击 者 可 以 
利用 外 部 实体 窃取 使 用 URI 文件 处 理 器 的 内 部 文件 和 共享 文件 、 监 听 内 部 扫描 端口 、 执 行 远程 
代码 和 实施 拒绝 服务 攻击 。 该 漏洞 的 出 现场 景 举例 如 下 : 

场景 1: 攻击 者 尝试 从 服务 端 提取 数据 。 


<?xml version="1.0" encoding="ISO-8859-1"?> 
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<!DOCTYPE foo [ 
<IELEMENT foo RNY > 
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]> 


<foo>&xxe; </fo0> 
场景 2: 攻击 者 通过 将 上 面 的 实体 行 更 改 为 以 下 内 容 来 探测 服务 器 的 专用 网 络 。 


<!ENTITY xxe SYSTEM"https://192.168.X.Y/private" >]> 


5. A5- 受 损害 的 访问 控制 漏洞 (Broken Access Control) 


未 对 通过 身份 验证 的 用 户 实施 恰当 的 访问 控制 ， 导 致 访问 控制 失效 。 攻 击 者 可 以 利用 这 些 
漏洞 访问 未 经 授权 的 功能 或 数据 。 例 如 ， 访 问 其 他 用 户 的 账户 、 查 看 敏感 文件 、 修 改 其 他 用 户 
的 数据 、 更 改 访问 权限 等 。 


6. A6- 安 全 配置 错误 (Security Misconfiguration) 


安全 配置 错误 包括 不 安全 的 默认 配置 、 不 完整 的 临时 配置 、 开 源 云 存储 、 错 误 的 HTTP 标 
头 配置 以 及 包含 敏感 信息 的 详细 错误 信息 。 例 如 ， 目 录 列 表 在 服务 器 端 未 被 禁用 ， 导 致 攻击 者 能 
列 出 目录 列表 ; 应 用 程序 服务 器 附带 了 未 从 产品 服务 器 中 删除 的 应 用 程序 样 例 ， 而 这 些 样 例 应 用 
程序 具有 已 知 的 安全 漏洞 ， 从 而 给 攻击 者 提供 了 漏洞 利用 机 会 ， 给 Web 服务 器 带 来 安全 风险 。 


7. A7- 跨 站 脚本 漏洞 (Cross-Site Scripting，XSS) 


当 应 用 程序 的 新 网 页 中 包含 不 受信 任 的 、 未 经 恰当 验证 或 转 义 的 数据 时 ， 或 者 使 用 可 
以 创建 HTML 或 JavaScript 的 浏览 器 API 更 新 现 有 的 网 页 时 ,就 会 出 现 XSS 缺陷 。XSS 让 
攻击 者 能 够 在 受害 者 的 浏览 器 中 执行 脚本 ， 并 劫持 用 户 会 话 、 破 坏 网 站 或 将 用 户 重 定向 到 
恶意 站 点 。 


8. A8- 非 安全 反 序 列 化 漏洞 〈Insecure Deserialization ) 


非 安全 的 反 序列 化 会 导致 远程 代码 执行 。 即 使 反 序列 化 缺陷 不 会 导致 远程 代码 执行 ， 攻 击 
者 也 可 以 利用 它们 来 执行 攻击 ， 包 括 重 播 攻击 、 注 入 攻击 和 特权 升级 攻击 。 


9. A9- 使 用 含有 已 知 漏洞 的 组 件 (Using Components with Known Vulnerabilities) 


组 件 ( 例 如: 库 、 框 架 和 其 他 软件 模块 ) 拥 有 和 应 用 程序 相同 的 权限 。Web 应 用 程序 
中 含有 已 知 漏洞 的 组 件 被 攻击 者 利用 ， 可 能 会 造成 严重 的 数据 丢失 或 服务 器 接管 。 同 时 ， 
使 用 含有 已 知 漏洞 的 组 件 的 应 用 程序 和 API 可 能 会 破坏 应 用 程序 防御 ， 造 成 各 种 攻击 并 产 
生 严 重 影响 。 


国医 
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10. A10- 非 充分 的 日 志 记 录 和 监控 (Insufficient Logging and Monitoring) 


不 充分 的 日 志 记录 和 监控 ， 以 及 事件 响应 缺失 或 无 效 的 集成 ， 使 攻击 者 能 够 进一步 攻击 系 
统 ， 保 持 攻击 活动 连续 性 或 转向 更 多 系统 ， 以 及 自 改 、 提 取 或 销毁 数据 。 该 漏洞 的 出 现场 景 举 
例如 下 : 

场景 1: 未 记录 可 审计 性 事件 ， 如 登录 、 登 录 失 败 和 高 额 交易 。 

场景 2: 没有 利用 应 用 系统 和 API 的 日 志 信息 来 监控 可 疑 活动 。 

场景 3: 没有 定义 合理 的 告警 阔 值 和 制定 响应 处 理 流程 。 

场景 4: 对 于 实时 或 准 实时 的 攻击 ， 应 用 程序 无 法 检测 、 处 理 和 告 

场景 5: 日 志 信息 仅 在 本 地 存储 。 


22.4.3 ”Web 应 用 漏洞 防护 


Web 应 用 漏洞 防护 的 常见 方法 有 SQL 注入 漏洞 分 析 与 防护 、 文 件 上 传 漏洞 分 析 与 防护 和 
跨 站 脚本 攻击 。 


1. SQL 注入 漏洞 分 析 与 防护 


SQL 注入 攻击 (SQL Injection Attack) 主 要 指 利用 连接 后 台数 据 库 中 的 Web 应 用 程序 漏洞 ， 
插入 恶意 SQL 语句 ， 以 实现 对 数据 库 的 攻击 。 例 如 ， 假 设 某 网 站 有 如 下 服务 : 


http://duck/index.asp?category=food 


其 后 台 对 应 的 Web 程序 如 下 : 
V_cat = request ("category") 
sqlstr="SELECT * FROM product WHERE Category='" & Vv _ cat & "'" 


set rs=conn.execute (sqlstr) 

正常 情况 下 ， 数 据 库 对 外 部 查询 请 求 对 应 的 执行 程序 是 : 

SELECT * FROM product WHERE Category='food' 

此 时 ， 查 询 用 户 只 能 得 到 food 相关 的 信息 。 但 是 ， 如 果 一 个 恶意 的 用 户 提交 如 下 请 求 
http://duck/index.asp?category=food' or 1=1--— 

这 时 候 ， 数 据 库 对 外 部 查询 请 求 对 应 的 执行 程序 是 : 

SELECT * EROM product WHERE Category='food' or 1=1--' 


查询 用 户 通过 该 SQL 语句 不 仅 得 到 food 的 相关 信息 ， 而 且 得 到 product 表 的 所 有 信息 。 
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SQL 注入 攻击 的 主要 特点 是 攻击 者 通过 利用 Web 应 用 程序 中 未 对 程序 变量 进行 安全 过 滤 
处 理 ， 在 输入 程序 变量 的 参数 时 ， 故 意 构造 特殊 的 SQL 语句 ， 让 后 台 的 数据 库 执行 非法 指令 ， 
从 而 可 以 操控 数据 库 内 容 ， 达 到 攻击 目的 。SQL 注入 攻击 的 防范 方法 如 下 : 

(1) 对 应 用 程序 输入 进行 安全 过 滤 。 对 网 站 应 用 程序 的 输入 变量 进行 安全 过 滤 与 参数 
验证 ， 禁 止 一 切 非 预期 的 参数 传递 到 后 台数 据 库 服务 器 。 安 全 过 滤 方 法 有 两 种 : 

。 ”建立 程序 输入 黑 名 单 。 拒 绝 已 知 的 恶意 输入 ， 如 insert、 update、 delete、 or、 

drop 等 。 

。 ”建立 程序 输入 白 名 单 。 只 接收 已 知 的 正常 输入 ， 如 在 一 些 表单 中 允许 数字 和 大 、 小 写 

字母 等 。 

(2) 设置 应 用 程序 最 小 化 权限 。SQL 注入 攻击 用 Web 应 用 程序 权限 对 数据 库 进行 操作 ， 
如 果 最 小 化 设置 数据 库 和 Web 应 用 程序 的 执行 权限 ， 就 可 以 阻止 非法 SQL 执行 ， 减 少 攻击 的 
破坏 影响 。 同 时 ， 对 于 Web 应 用 程序 与 数据 库 的 连接 ， 建 立 独立 的 账号 ， 使 用 最 小 权限 执行 数 
据 库 操作 ， 避 免 应 用 程序 以 DBA 身份 与 数据 库 连 接 ， 以 免 给 攻击 者 可 乘 之 机 。 

(3) 屏蔽 应 用 程序 错误 提示 信息 。SQL 注入 攻击 是 一 种 尝试 攻击 技术 , 攻击 者 会 利用 SQL 
执行 尝试 反馈 信息 来 推断 数据 库 的 结构 以 及 有 价值 的 信息 。 在 默认 情况 下 ， 数 据 库 查询 和 页 面 
执行 中 出 错 的 时 候 ， 用 户 浏览 器 上 将 会 出 现 错误 信息 ， 这 些 信息 包括 了 ODBC 类 型 、 数 据 库 
引擎 、 数 据 库 名 称 、 表 名 称 、 变 量 、 错 误 类 型 等 诸多 内 容 ， 如 图 22-10 所 示 。 


Er EC 查看 (0) 转 到 (6) 书签 @) 工具 CD) 帮助 00) 


押 - 哮 - 例 [ x] I http://222. YYY. XXX. XXX/index. asp 
合 入 门 硕 知 辐 最 新 头条 | ] 项 目 管理 -任务 详细 信息 


Microsoft OLE DB Provider for ODBC Drivers 错误 '80040el4" 


[Microsoft] [ODBC Microsoft Access Driver] 语法 错误 (操作 符 丢 尖 ) 在 查询 表达 式 “ 姓 名 = "”OR 1=1”A&ND 密码 = "123” and 
/INC/tools. asp, 行 15 


图 22-10 应 用 程序 错误 信息 显示 示意 图 


因此 ， 针 对 这 种 情况 ， 应 用 程序 应 屏蔽 掉 错误 信息 显示 到 浏览 器 上 ， 从 而 可 以 避免 入 侵 者 
获取 数据 库 内 部 信息 。 

(4) 对 开源 Web 应 用 程序 做 安全 适应 性 改造 。 利 用 开源 网 站 应 用 程序 进行 安全 增强 ,避免 
攻击 者 无 须 猜测 就 可 以 知道 网 站 后 台数 据 库 的 类 型 以 及 各 种 表 结 构 ， 进 而 较 容 易 地 进行 SQL 
注入 攻击 。 


2. 文件 上 传 漏洞 分 析 与 防护 


文件 上 传 漏洞 是 指 由 于 Web 应 用 程序 代码 未 对 用 户 提交 的 文件 进行 严格 的 分 析 和 检查 ， 
攻击 者 可 以 执行 上 传 文件 ， 从 而 获取 网 站 控制 权限 ， 如 建立 Web Shell。 针 对 文件 上 传 漏洞 的 防 
护 措施 如 下 : 
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。。 将 上 传 目录 设置 为 不 可 执行 ， 避 免 上 传 文件 远程 触发 执行 。 
。 ”检查 上 传 文件 的 安全 性 ， 阻 断 恶意 文件 上 传 。 


3. 跨 站 脚本 攻击 


跨 站 脚本 攻击 (Cross-Site Scripting Attacks) 利用 网 站 中 的 漏洞 ， 在 URL 注入 一 些 恶意 的 
脚本 ， 欺 骗 用 户 。 典 型 的 攻击 方式 有 以 下 几 种 模式 : 
(1) HTML 内 容 蔡 换 ， 如 下 所 示 : 


http: //mybank.com/ebanking?URL=http: //evilsite.com/phishing/fakepage.htm 
(2) 嵌入 脚本 内 容 ， 如 下 所 示 : 

http: //mybank.com/ebanking?page=l&client=<SCRIPT>evilcode... 

(3) 强制 网 页 加 载 外 部 的 脚本 ， 如 下 所 示 : 

http: //mybank.com/ebanking?page=l&response=evilsite.com%2levilcode.js&go=2 


钓鱼 者 使 用 跨 站 脚本 攻击 ， 控 制服 务 终端 用 户 的 浏览 器 的 内 容 显示 ， 从 而 可 以 实施 钓鱼 者 
的 意图 ， 如 图 22-11 所 示 。 


客 | 
Reauesting - http-/rstrt comvebanking?URL=hittp://evilsite.com/phishing/fakepage.htm 


22-11 跨 站 脚本 攻击 示意 图 
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22.5 ”网 站 安全 保护 机 制 与 技术 方案 


网 站 安全 保护 涉及 操作 系统 、 数 据 库 、Web 应 用 程序 、 网 络 通信 、 用 户 等 多 个 构成 组 件 ， 
本 节 主 要 给 出 网 站 常见 的 安全 保护 机 制 ， 以 及 网 站 构成 组 件 的 安全 加 固 措 施 、 网 站 攻击 防护 和 
监测 方法 。 
22.5.1 网 站 安全 保护 机 制 


网 站 除了 物理 环境 安全 保护 外 , 基本 安全 保护 机 制 还 包括 身份 鉴别 、 访 问 控制 、 内 容 安全 、 
数据 安全 、 安 全 防护 、 安 全 审计 与 监控 、 应 急 响 应 和 灾 备 、 合 规 管理 、 安 全 测评 等 。 


1. 身份 鉴别 
针对 网 站 的 相关 资源 用 户 ， 采 用 用 户 身份 标识 和 鉴别 的 安全 措施 ， 防 止 非 授 权 用 户 访问 重 


要 资源 。 常 见 的 身份 鉴别 技术 措施 有 用 户 名 /口令 、U 盾 、 人 脸 识别 以 及 基于 证 书 的 统一 用 户 身 
份 管理 。 

2. 访问 控制 

网 站 访问 控制 的 目的 是 防止 非 授权 的 用 户 访问 网 站 资源 。 常 见 的 网 站 访问 控制 技术 措施 是 
防火 墙 、 数 据 加 密 以 及 操作 系统 、 数 据 库 、Web 软件 、Web 应 用 程序 等 内 置 的 访问 控制 措施 综 
合集 成 实现 。 例 如 ， 通 过 防火 墙 ， 可 以 对 列 入 到 地 址 黑 名 单 的 网 站 访问 者 进行 阻 断 ， 而 保留 折 
名 单 访问 通道 。 

3. 网 站 内 容 安全 

网 站 内 容 安全 的 目标 是 确保 网 站 符合 所 在 区 域 的 法 律 法 规 及 政策 要 求 ， 避 免 网 站 被 恶意 
攻击 者 利用 。 网 站 内 容 安全 的 技术 措施 主要 是 网 站 文字 内 容 安全 检查 、 网 页 防臭 改 、 敏 感 
汇 过 滤 。 

4. 网 站 数据 安全 

网 站 数据 安全 的 目标 是 确保 网 站 所 承载 的 数据 资源 的 安全 性 ， 防 止 数据 汇 露 、 完 整 性 破坏 


以 及 用 户 隐 私 泄露 。 网 站 数据 安全 的 技术 措施 主要 有 用 户 数据 隔离 、 数 据 加 密 、SSL、 数 据 备 
份 以 及 隐私 保护 。 


S. 网 站 安全 防护 


网 站 安全 防护 的 目标 是 增强 网 站 的 抗 攻击 能 力 ， 能 够 识别 Web 攻击 类 型 及 阻 断 攻击 行为 ， 
包括 非 授 权 访 问 防护 、 暴 力 破 解 防 护 、Webshell 识别 和 拦截 、 目 录 遍 历 防护 、SQL 注入 攻击 防 
护 。 能 够 支持 DDoS 清洗 ， 应 能 够 正常 防御 SYN Flood、ACK Flood、ICMP Flood、UDP Flood、 


Ee 
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HTTP Flood、DNS Flood、CC 攻击 等 拒绝 服务 类 攻击 。 
6. 网 站 安全 审计 与 监控 


网 站 安全 审计 与 监控 的 目标 是 掌握 网 站 的 安全 及 运行 状况 ， 保 留 相关 日 志 数据 ， 提 供 事后 
攻击 取证 及 应 急 恢 复 指导 。 网 站 安全 审计 与 监控 的 安全 技术 措施 主要 有 SysLog、Web 流量 截取 、 
网 页 自 改 或 挂 马 检 查 、Web 入 侵 监测 、 电 子 取证 等 。 


7. 网 站 应 急 响应 


网 站 应 急 响 应 的 目标 是 针对 网 站 意外 事故 ， 提 供应 急 响 应 服务 ， 保 障 网 站 的 持续 运行 及 相 
关 资 源 的 安全 性 。 网 站 应 急 响应 的 技术 措施 主要 有 网 页 防 算 改 、 网 站 域名 服务 灾 备 、 网 络 流量 
清洗 、 灾 备 中 心 、 网 络 攻 击 取 证 等 。 


8. 网 站 合 规 管理 


网 站 合 规 管理 的 目标 是 确保 网 站 符合 相关 规定 要 求 ， 保 证 网 站 的 合法 性 。 网 站 合 规 管理 包 
括 网 站 备案 、 网 站 防伪 标识 、 网 站 等 保 测评 等 。 


9. 网 站 安全 测评 


网 站 安全 测评 的 目标 是 应 及 时 有 效 地 发 现 安全 隐患 ， 指 导 安 全 整改 直至 符合 标准 测评 ， 避 
免 重大 网 站 安全 事件 出 现 。 网 站 安全 测评 的 技术 措施 主要 有 漏洞 扫描 、 渗 透 测 试 、 代 码 审 核 、 
风险 分 析 等 。 


10. 网 站 安全 管理 机 制 


网 站 安全 管理 机 制 的 目标 是 确保 网 站 的 安全 利益 相关 者 能 承担 网 站 安全 责任 , 落实 网 站 安 
全 措施 ， 持 续 改进 网 站 安全 管理 工作 。 网 站 安全 管理 机 制 主要 包括 网 站 安全 保障 工作 的 总 体 方 
针 和 安全 策略 ， 建 立 网 站 建设 、 网 站 运 维 、 网 站 内 容 、 网 站 域名 、 网 站 应 急 预 案 等 方面 的 安全 
管理 制度 ， 应 确保 各 项 安全 管理 制度 的 有 效 执行 、 及 时 修订 完善 。 


22.5.2 ”网 站 构成 组 件 安全 加 固 


网 站 是 一 个 综合 信息 服务 平台 ， 其 安全 性 与 构成 组 件 紧密 相关 ， 一 个 组 件 的 安全 会 影响 网 
站 的 整体 安全 。 网 站 安全 加 固 主要 有 以 下 几 个 方面 : 

。 ”操作 系统 安全 加 固 ; 

。 ”数据 库 系统 安全 加 固 ; 

。 ”Web 服务 器 软件 安全 加 固 ; 

。 ”Web 应 用 程序 安全 加 固 ; 

。 ”Web 通信 安全 加 固 ; 
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。 ”网 站 域名 服务 安全 加 固 ; 
。 ”网 站 后 台 管 理 安全 加 固 。 
其 中 ， 安 全 加 固 最 佳 实践 参考 是 CIS 标准 规范 。 


22.5.3 ”网 站 攻击 防护 及 安全 监测 


1. 防火 墙 


防火 墙 是 网 站 安全 的 第 一 道 技术 屏障 ， 主 要 用 于 限制 来 自 某 些 特定 IP 地 址 的 网 站 连接 请 
求 ， 阻 止 常见 的 Web 应 用 攻击 及 Web Services 攻击 。 目前， 可 以 使 用 的 防火 墙 技 术 主 要 有 包 过 
滤 防 火 墙 、Web 应 用 防火 墙 。 其 中 ， 包 过 滤 防 火 墙 只 能 基于 IP 层 过 滤 网 站 恶意 包 ，Web 应 用 
防火 墙 针对 80、443 端口 、Web Services 攻击 。 开 源 Web 防火 墙 有 ModSecurity， 商 业 Web 防 
火 墙 公司 有 杭州 安 恒 、 天 融 信 、 华 为 等 。 

2. 漏洞 扫描 


用 漏洞 扫描 工具 定期 对 网 站 服务 器 进行 漏洞 扫描 ， 及 时 发 现 网 站 的 安全 漏洞 ， 产 生 漏洞 评 
估 报 告 ， 以 指导 网 站 管理 员 对 网 站 服务 器 进行 升级 或 修改 安全 配置 。 网 站 漏洞 扫描 技术 主要 有 
端口 扫描 、Web 漏洞 扫描 、WebShell 恶意 代码 检测 。 针 对 网 站 的 开源 漏洞 扫描 工具 有 Nikto 、 
Httprint、 WebScarab、WireShark， 商 业 化 漏洞 扫描 工具 有 AIScanner 安全 检测 系统 、 明 鉴 Web 
应 用 弱点 扫描 器 、 明 鉴 WebShellScanner 网 页 后 门 检查 工具 、IBM 公司 AppScan 等 。 例 如 ， 利 
用 明 鉴 WebShellScanner， 可 以 检测 网 页 木马 ， 如 图 22-12 所 示 。 
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图 22-12 检测 网 页 木马 示意 图 
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3. 网 站 防 自 改 


网 站 防 自 改 的 实现 技术 主要 有 两 类 : 一 是 利用 操作 系统 的 文件 调用 事件 来 检测 网 页 文件 的 
完整 性 变化 ， 以 此 防止 网 站 被 非 授 权 修改 ;二 是 利用 密码 学 的 单 向 函数 检测 网 站 中 的 文件 是 否 
发 生 了 改变 。 若 检测 到 网 页 受到 非法 修改 ， 则 启动 网 页 恢复 机 制 ， 自 动 地 用 正常 的 页 面 文件 蔡 


换 已 破坏 的 页 
4. 网 络 流量 清洗 


网 络 流量 清洗 是 指 通过 基于 网 络 流量 的 异常 监测 技术 手段 ， 将 对 目标 网 络 攻击 的 DoS、 
DDoS 等 恶意 网 络 流量 过 滤 掉 ， 同 时 把 正常 的 流量 转发 到 目标 网 络 中 ， 如 图 22-13 所 示 。 


ame 


@ 


一 > 正常 流量 
-> 攻击 流量 
---> 分 光 流量 


22-13 ”网 络 流量 清洗 示意 图 


S. 网 站 安全 监测 


网 站 安全 监测 的 目标 是 掌握 网 站 的 安全 状态 ， 类 似 天 气 预 报 系统 ， 以 便于 


时 处 置 安全 事件 ， 网 站 安全 监测 的 主要 内 容 如 下 
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。 ”网 站 安全 漏洞 监测 。 通 过 漏洞 数据 库 信息 查找 匹配 及 漏洞 扫描 ， 获 取 网 站 相关 操作 系 
统 、 数 据 库 、 应 用 系统 、Web 软件 等 的 安全 漏洞 情况 。 

e” 网 站 挂 马 监测 。 通 过 网 页 怜 虫 及 恶意 代码 检测 技术 ， 对 网 站 的 网 页 进行 安全 检查 ， 以 
确认 网 页 是 否 存在 Web Shell 或 恶意 链接 URL。 

。 ”网 站 ICP 备案 监测 。 通 过 获取 网 站 的 首页 信息 ， 检 查 网 站 的 ICP 备案 号 。 

。 ”网 站 合 规 性 监测 。 通 过 获取 网 站 的 页 面 信息 ， 利 用 关键 词 匹 配 及 敏感 词 分 析 技 术 ， 监 
测 网 站 合 规 性 。 

。 ”网 站 性 能 监测 。 通 过 分 析 网 页 请 求 信息 及 网 站 运行 日 志 数 据 ， 获 取 网 站 的 性 能 。 

ee 网 站 DNS 监测。 监测 网 站 的 域名 和 了 P 地 址 对 应 关系 、DNS 服务 软件 版 本 、DNS 的 安 
全 威胁 。 

。 ”网 站 入 侵 检 测 。 通 过 IDS/IPS 监测 正在 进行 的 网 站 攻击 行为 ， 记 录 黑 客 的 来 源 及 攻击 
方法 。 


22.6 ”网 站 安全 综合 应 用 案例 分 析 


本 节 给 出 政务 网 站 安全 保护 和 网 上 银行 安全 保护 参考 案例 。 
22.6.1 政务 网 站 安全 保护 

网 站 安全 保护 涉及 国家 法 律 法 规 、 政 策 文件 、 组 织 管理 、 标 准 规范 、 运 行 环 境 、 产 品 技 
术 、 应 用 开发 、 安 全 测评 、 应 急 响应 等 多 个 方面 的 内 容 。 目 前 ， 针 对 政府 网 站 ， 国 家 颁布 了 
《关于 加 强 政府 网 站 域名 管理 的 通知 》《 政 府 网 站 发 展 指引 》《 关 于 加 强 党 政 机 关 网 站 安全 管 
理 的 通知 》《 信 息 安全 技术 政府 门户 网 站 系统 安全 技术 指南 》 (GB/T 31506 一 2015) 等 。 其 
中 ，GB/T 31506 一 2015 提出 政府 门户 网 站 系统 安全 技术 措施 要 求 ， 如 表 22-1 所 示 。 


表 22-1 政府 门户 网 站 系统 安全 技术 措施 表 


层面 防护 
Web 应 用 安全 
网 站 层 。 | 域名 安全 
数据 层 ”| 内 容 发 布 及 数据 安全 
服务 器 安全 运行 攻击 防范 | 安全 监控 | 应 急 响应 
主机 层 。 | 管理 终端 安全 


网 络 层 边界 安全 
物理 层 物理 安全 


政府 网 站 的 信息 安全 等 级 原则 上 不 应 低 于 二 级 。 三 级 网 站 每 年 应 测评 一 次 ， 二 级 网 站 每 两 
年 应 测评 一 次 。 网 络 安全 公司 针对 政府 网 站 的 保护 要 求 ， 给 出 相应 的 解决 方案 。 以 天 融 信 公司 
的 安全 方案 为 例 ， 如 图 22-14 所 示 。 
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图 22-14 政府 网 站 安全 防护 方案 示意 图 
政府 网 站 安全 防护 方案 如 下 : 


(1) DDoS 防御 。 在 政务 网 站 与 互联 网 边界 处 部 署 防 DDoS 攻击 系统 ， 用 于 防护 来 自 互 联 
网 的 拒绝 服务 攻击 。 

(2) 网 络 访问 控制 。 利 用 防火 墙 进行 访问 控制 ， 防 止 不 必要 的 服务 进入 政务 网 站 系统 ， 减 
少 被 攻击 的 可 能 性 。 

(3) 网 页 防 算 改 。 在 Web 服务 器 上 部 署 网 页 防 算 改 系统 ， 针 对 Web 应 用 网 页 和 文件 进行 
防护 。 

(4) 网 站 应 用 防护 。 通 过 Web 应 用 防火 墙 代理 互联 网 客户 端 对 Web 服务 器 的 所 有 请 求 ， 
清洗 异常 流量 ， 有 效 控制 政务 网 站 应 用 的 各 类 安全 威胁 。 

(5) 入 侵 防 御 和 病毒 防护 。 通 过 入 侵 防 御 系统 和 防 病毒 网 关系 统 实现 对 非法 入 侵 行 为 和 网 
络 病毒 的 有 效 检测 和 阻 断 。 

(6) 网 络 /数据 库 审计 。 通 过 网 络 /数据 库 审计 系统 实现 对 政务 网 站 访问 行为 和 网 站 后 台数 
据 库 的 访问 行为 进行 监控 、 记 录 和 审计 。 

(7) 网 站 安全 监控 。 通 过 网 站 安全 监控 系统 实现 漏洞 扫描 、 网 页 木马 监测 、 网 页 算 改 监测 、 
网 页 敏感 信息 监测 等 功能 , 同时 系统 与 Web 应 用 防火 墙 进行 联动 , 进一步 提升 政府 网 站 的 全 防 
护 能 力 。 
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22.6.2 ”网 上 银行 安全 保护 


随 着 互联 网 的 发 展 ， 网 上 银行 、 手 机 银行 成 为 银行 新 的 服务 形态 ， 极 大 地 方便 了 客户 。 与 
此 同时 ， 由 于 开放 了 互联 网 络 中 流动 的 大 量 金 融 交 易 数 据 及 客户 隐私 信息 ， 网 上 银行 、 手 机 银 
行 容易 成 为 非法 入 侵 和 恶意 攻击 的 对 象 ， 网 上 银行 业务 面临 更 多 的 安全 风险 。 为 此 ， 国 家 各 部 
门 不 断 推出 各 种 监管 要 求 ， 及 与 之 相关 的 法 律 、 法 规 与 行业 监管 指引 ， 如 《网 上 银行 系统 信息 
安全 通用 规范 》。 针 对 网 站 通信 的 安全 问题 ， 各 银行 都 采取 加 密 方式 保护 客户 敏感 信息 。 以 中 
国 工商 银行 为 例 ， 当 单 击 网 银 相关 服务 的 时 候 ， 网 站 开启 安全 通信 的 方式 ， 如 图 22-15 所 示 。 
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22-15 ”网 上 银行 安全 通信 示意 图 


为 提升 用 户 账号 的 安全 ， 网 上 银行 使 用 验证 码 ， 防 止 用 户 密码 暴力 猜测 攻击 ， 如 图 22-16 
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图 22-16 网 上 银行 账户 认证 安全 增强 示意 图 
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22.7 ”本 章 小 结 


本 章 首 先 叙述 了 网 站 安全 的 概念 及 相关 安全 威胁 、 安 全 需求 ， 并 分 析 了 Apache Httpd、IIS 
等 Web 服务 器 软件 的 安全 机 制 和 安全 增强 措施 ;然后 针对 Web 应 用 的 安全 问题 ， 给 出 了 常见 
的 Web 应 用 安全 漏洞 的 形成 原因 及 防护 方法 ; 最 后 , 对 网 站 安全 保护 机 制 与 技术 方案 进行 了 分 
析 ， 给 出 网 站 安全 综合 应 用 案例 。 


出 第 23 章 云 计 算 安全 需求 分 析 与 天 
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23.1 云 计 算 安全 概念 与 威胁 分 析 


云 计算 是 新 一 代 信 息 技 术 的 代表 之 一 ， 本 节 首先 阐述 云 计 算 的 基本 概念 ， 然 后 分 析 云 计算 
面临 的 安全 问题 ， 及 云 计算 的 安全 要 求 。 下 面 分 别 讲述 。 


23.1.1 云 计 算 基本 概念 


在 传统 计算 环境 下 ， 用 户 构建 一 个 新 的 应 用 系统 ， 需 要 做 大 量 繁 杂 的 工作 ， 如 采购 硬件 设 
备 、 安 装 软件 包 、 编 写 软件 ， 同 时 计算 资源 与 业务 发 展 难以 灵活 匹配 ， 信 息 系 统 项 目 建设 周期 
长 。 随 着 网 络 信息 科技 的 发 展 ， 人 们 实际 上 和 希望 一 种 简捷 、 灵 活 多 变 的 计算 环境 ， 如 同 电力 服 
务 的 计算 资源 平台 。 云 计算 就 是 在 这 样 的 需求 驱动 下 而 产生 的 一 种 计算 模式 。 云 计算 通过 虚拟 
化 及 网 络 通信 技术 ， 提 供 一 种 按 需 服务 、 弹 性 化 的 IT 资源 池 服 务 平 台 ， 如 图 23-1 所 示 。 
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图 23-1 云 计算 服 务 提供 示意 图 
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云 计 算 的 主要 特征 如 下 。 
1.IT 资源 以 服务 的 形式 提供 


IT 资源 以 一 种 服务 产品 的 形式 提供 ， 满 足 用 户 按 需 使 用 、 计 量 付费 的 要 求 。 目 前 ， 云 计算 
常见 的 服务 有 基础 设施 即 服务 IaaS、 平 台 即 服务 PaaS、 软 件 即 服务 SaaS、 数 据 即 服务 DaaS、 
存储 即 服务 STaaS。 


2. 多 租户 共享 IT 资源 


“多 租户 ”是 指 所 提供 的 信息 服务 支持 多 个 组 织 或 个 人 按 需 租赁 。“ 多 租户 ”还 意味 着 云 
计算 系统 应 对 租户 间 信息 服务 实现 隔离 ， 包 括 功能 隔离 、 性 能 隔离 和 故障 隔离 。 


3.IT 资源 按 需 定制 与 按 用 付费 


在 云 计算 方式 下 ， 用 户 不 必 建 设 自己 的 数据 中 心 和 IT 支撑 资源 系统 ， 只 须根 据 其 自身 实 
际 的 资源 需求 向 云 计算 服务 商 按 需 定制 或 者 单独 购买 ， 实 现 即 付 即 用 和 按 需 定制 ， 从 而 让 云 服 
务 供应 商 能 够 实现 科学 化 的 IT 资源 配置 , 更 好 地 实现 规模 效益 和 控制 边际 成 本 获 益 ， 从 而 有 利 
于 云 用 户 消 费 者 以 更 低廉 的 价格 得 到 更 大 价值 的 服务 和 应 用 。 


4.IT 资源 可 伸缩 性 部 署 


大 多 数 应 用 对 计算 、 存 储 和 网 络 带 宽 的 使 用 的 规模 、 时 间 不 尽 相同 ， 存 在 需求 差异 。 通 过 
对 IT 资源 的 有 效 调度 ， 按 时 段 来 随时 添加 资源 和 移 除 资源 ， 满 足 不 同 用 户 对 资源 的 弹性 要 求 。 
例如 ， 一 个 人 为 完成 某 个 计算 任务 ， 可 以 通过 云 计 算 平 台 申 请 上 千 台 服务 器 。 

云 计 算 有 四 种 部 署 模式 ， 即 私有 云 、 社 区 云 、 公 有 云 和 混合 云 。 其 中 ， 私 有 云 是 指 云 计算 
设施 为 某 个 特定 组 织 单独 运营 云 服 务 ， 可 能 由 组 织 自身 或 委托 第 三 方 进行 管理 ， 公 有 云 指 云 计 
算 设施 被 菜 一 组 织 拥有 并 进行 云 服务 商业 化 ， 对 社会 公众 、 组 织 提供 服务 ， 社 区 云 是 指 云 计 算 
设施 由 多 个 组 织 共享 , 用 于 支持 某 个 特定 的 社区 团体 , 可 能 由 组 织 自身 或 委托 第 三 方 进 行 管理 ; 
混合 云 是 指 云 计算 设施 由 两 个 或 多 个 云 实体 (公有 云 、 私 有 云 、 社 区 云 ) 构成 ， 经 标准 化 或 合 
适 的 技术 绑 定 在 一 起 ， 该 技术 使 数据 和 应 用 程序 具备 可 移植 性 。 


23.1.2 云 计 算 安 全 分 析 


云 计 算是 一 个 IT 资源 服务 平台 ， 承 载 着 多 种 应 用 系统 ， 存 储 了 大 量 的 数据 资源 ， 其 安全 
性 至 关 重 要 。 云 安全 不 仅 关系 企 事业 单位 的 正常 运行 ， 同 时 也 涉及 国家 安全 以 及 社会 影响 ， 保 
障 云 计算 系统 的 安全 成 为 相关 企 事 业 单位 开展 云 计算 服务 业务 的 基础 。 网 络 安全 问题 成 为 云 计 
算 服务 发 展 的 重要 因素 。 

下 面 按照 “ 端 - 管 - 云 ”的 安全 威胁 分 析 方 法 ， 对 云 计算 的 安全 威胁 进行 分 析 。 这 里 “ 端 ” 
是 指使 用 云 计算 服务 的 终端 设备 或 用 户 端 ，“ 管 ”是 指 连 接 用 户 端 和 云 计算 平台 的 网 络 ，“ 云 ” 
就 是 云 计算 服务 平台 。 
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1. 云端 安全 威胁 
云 终端 是 用 户 使 用 云 计 算 服 务 的 终端 设备 ， 云 终端 的 安全 性 直接 影响 云 服 务 的 安全 体验 。 
云 终端 用 户 在 使 用 云 计 算 服 务 的 过 程 中 ， 云 用 户 设置 弱 的 口令 ， 导 致 去 用 户 的 账号 被 动 ， 或 者 


黑客 攻击 终端 平台 ,假冒 去 用 户 。 云 终端 设备 存在 安全 漏洞 ， 导 致 黑客 入 侵 终 端 。 云 用 户 使 用 
云 终端 时 ， 暴 露 用 户 的 个 人 隐私 信息 ， 如 用 户 所 在 的 地 理 位 置 、 用 户 的 行为 特征 等 。 


2. 云 “ 管 ”安全 威胁 


网 络 是 云 计 算 平 台 连接 云 用 户 的 管道 , 云 计算 平台 通过 网 络 把 云 服务 传递 到 云 用 户 。 然 而 ， 
在 网 络 通信 过 程 中 ， 网 络 可 能 面临 的 安全 威胁 有 网 络 监 听 、 网 络 数据 泄露 、 中 间 人 攻击 、 拒 绝 
服务 等 ， 从 而 导致 云 计算 平台 出 现 安全 问题 。 例 如 ， 攻 击 者 通过 入 侵 控 制 云 计算 平台 的 域名 服 
务 、 入 口 网 站 ， 以 支持 云 平台 的 网 络 入 口 ， 从 而 让 云 计算 平台 无 法 有 效 提供 云 服 务 。 攻 击 者 利 
用 云 服 务 的 通信 协议 明文 传递 信息 的 安全 隐患 ， 获 取 云 用 户 的 秘密 信息 。 恶 意 的 去 用 户 把 网 卡 
设置 为 混杂 模式 ， 窃 听 其 他 去 用 户 的 网 络 通信 内 容 。 攻 击 者 利用 TCP/IP 协议 漏洞 ， 实 施 同步 
风暴 、ICMP 风暴 、UDP 风暴 等 拒绝 服务 攻击 。 


3. 云 计算 平台 安全 威胁 


云 计算 平台 汇聚 大 量 的 应 用 系统 及 数据 资源 ， 已 成 为 国家 关键 信息 基础 设施 。 云 计算 平台 
面临 的 网 络 安全 威胁 日 益 频繁 和 复杂 ， 其 主要 网 络 安全 威胁 如 下 。 

1) 云 计 算 平 台 物 理 安全 威胁 

云 计 算 促进 了 各 种 资源 的 集中 化 ， 极 易 形 成 物理 环境 单 点 安全 高 风险 。 云 计算 平台 一 旦 遭 
受 物理 安全 威胁 ， 后 果 可 能 是 灾难 性 的 。 国 外 Amazon 的 数据 中 心 曾 被 雷电 击 中 ， 导 致 去 服务 
器 停止 运行 。 交 换 机 、 服 务 器 等 硬件 失效 导致 去 数据 不 能 被 访问 。 美国 云 存 储 供应 商 Swissdisk 
遭受 硬件 失效 ， 拒 绝 用 户 访问 他 们 自己 的 数据 。 国 外 云 安 全 事件 调查 表明 ， 硬 件 失 效 的 安全 事 
件数 占 到 云 安全 事件 的 10%。 

2) 云 计 算 平台 服务 安全 威胁 

云 计算 平台 提供 的 服务 对 用 户 来 说 是 透明 的 ， 但 云 用 户 无 法 掌握 技术 细节 、 基 础 设施 的 配 
置 情况 、 系 统管 理 方式 等 具体 情况 。 云 计算 平台 服务 的 安全 性 依赖 于 云 服务 商 的 安全 管理 及 维 
护 。 云 计算 平台 常常 面临 的 网 络 安全 威胁 是 云 服务 安全 漏洞 ， 导 致 去 客户 信息 泄露、 虚拟 机 安 
全 不 可 信任 、 虚 拟 机 逃逸 、 非 安全 的 云 服务 API 接口 、 侧 信道 攻击 等 。2005 年 1 月 ， 研 究 者 发 
现 了 Gmail 邮件 服务 安全 漏洞 ， 使 得 用 户 名 和 密码 很 容易 被 盗 窍 ， 导 致 外 来 者 可 以 窥探 用 户 的 
电子 邮件 。 云 计算 平台 安全 管理 不 善 和 安全 防护 措施 不 到 位 , 导致 虚拟 镜像 操作 系统 存在 漏洞 。 
例如 Guest OS 本 身 存 在 安全 漏洞 ， 就 会 形成 Guest OS 镜像 污染 ， 安 全 危害 将 从 单个 虚拟 主机 
扩散 到 计算 池 、 存 储 池 ， 甚 至 整个 云 数据 中 心 ， 如 图 23-2 所 示 。 
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图 23-2 客户 操作 系统 镜像 污染 示意 


目前 云 计 算 平台 的 操作 系统 (Hyervisor) XEN、KVM、OpenStack、VMware 等 存在 未 知 
漏洞 ， 攻 击 者 有 可 能 通过 虚拟 机 漏洞 攻击 而 获取 云 平台 的 管理 员 权 限 ， 如 图 23-3 所 示 。 


图 23-3 ”虚拟 机 逃逸 攻击 示意 图 


2012 年 ACM CCS 国际 网 络 安全 会 议 上 ,研究 人 员 发 表 的 一 篇 论文 Cross-VM Side Channels 
and Their Use to Extract Private Keys 中 提出 如 何 使 用 虚拟 机 构筑 侧 信道 提取 在 同一 服务 器 上 的 
其 他 虚拟 机 的 私 钥 。 

3) 云 平 台 资源 滥用 安全 威胁 

公共 云 计算 平台 为 恶意 人 员 提 供 了 便利 的 沟通 、 协 同和 分 析 云 服务 的 途径 ， 使 其 成 为 网 络 
犯罪 的 资源 池 。 攻 击 者 利用 云 服务 平台 的 虚拟 主机 漏洞 ， 非 法 入 侵 云 平台 的 虚拟 主机 ， 构 造 僵 
尸 网 络 ， 发 动 拒绝 服务 攻击 ， 如 图 23-4 所 示 。 针 对 云 平台 存储 服务 安全 管理 缺陷 ， 利 用 云 存储 
保存 网 络 犯 罪 信 息 。 
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图 23-4 基于 云 平台 虚拟 机 僵尸 网 络 的 攻击 示意 图 


4) 云 计算 平台 运 维 及 内 部 安全 威胁 

云 提供 商 的 内 部 工作 人 员 违 反 安全 规定 或 误 操 作 ， 导 致 数据 丢失 和 泄露 、 云 计算 平台 服务 非 
正常 关闭 等 安全 事件 时 有 发 生 。 调 查 表明 ， 数 据 丢 失 和 泄露 是 云 计 算 服 务 的 前 三 大 安全 威胁 之 一 。 
与 云 提 供 者 出 现 合作 争议 或 非 盘 利 性 云 服务 可 能 造成 云 服务 终止 ， 造 成 数据 丢失 和 业务 中 断 。 

5) 数据 残留 

云 租户 的 大 量 数据 存放 在 云 计算 平台 上 的 存储 空间 中 , 如 果 存 储 空 间 回收 后 剩余 信息 没有 
完全 清除 ， 存 储 空间 再 分 配给 其 他 云 租户 使 用 容易 造成 数据 泄露 。 当 云 租户 退出 云 服 务 时 ， 由 
于 云 服务 方 没有 完全 删除 云 租户 的 数据 ， 包 括 备份 数据 等 ， 带 来 数据 安全 风险 。 

6) 过 度 依赖 

由 于 缺乏 统一 的 标准 和 接口 ， 不 同 云 计 算 平 台 上 的 云 租户 数据 和 应 用 系统 难以 相互 迁移 ， 
同样 也 难以 从 云 计 算 平台 迁移 回 云 租 户 的 数据 中 心 。 另 外 ， 云 服务 方 出 于 自身 利益 考虑 ， 往 往 
不 愿意 为 云 租户 的 数据 和 应 用 系统 提供 可 移植 能 力 。 这 种 对 特定 云 服务 方 的 过 度 依赖 可 能 导致 
云 租户 的 应 用 系统 随 云 服 务 方 的 干扰 或 停止 服务 而 受到 影响 ， 也 可 能 导致 数据 和 应 用 系统 迁移 
到 其 他 云 服务 方 的 代价 过 高 。 

7) 利用 共享 技术 漏洞 进行 的 攻击 

由 于 云 服务 是 多 租户 共享 ， 如 果 云 租户 之 间 的 隔离 措施 失效 ， 一 个 云 租户 有 可 能 侵入 另 一 
个 云 租户 的 环境 ， 或 者 干扰 其 他 云 租户 应 用 系统 的 运行 。 而 且 ， 很 有 可 能 出 现 专门 从 事 攻击 活 
动 的 人 员 绕 过 隔离 措施 ， 和 干扰、 破坏 其 他 云 租户 应 用 系统 的 正常 运行 。 

8) 滥用 云 服 务 

面向 公众 提供 的 云 服务 可 向 任何 人 提供 计算 资源 , 如 果 管 控 不 严格 , 不 考虑 使 用 者 的 目的 ， 
很 可 能 被 攻击 者 利用 ， 如 通过 租用 计算 资源 发 动 拒绝 服务 攻击 。 
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9) 云 服 务 中 断 

云 服务 基于 网 络 提供 服务 ， 当 云 租户 把 应 用 系统 迁移 到 云 计算 平台 后 ， 一 旦 与 云 计算 平台 
的 网 络 连接 中 断 或 者 云 计算 平台 出 现 故障 , 造成 服务 中 断 , 将 影响 云 租户 应 用 系统 的 正常 运行 。 

10) 利用 不 安全 接口 的 攻击 

攻击 者 利用 非法 获取 的 接口 访问 密 钥 ,将 能 够 直接 访问 用 户 数据 ， 导 致 敏感 数据 泄露 通 
过 接口 实施 注入 攻击 ， 进 行 算 改 或 者 破坏 用 户 数据 ， 通过 接口 的 漏洞 ， 攻 击 者 可 绕 过 虚拟 机 监 
视 器 的 安全 控制 机 制 ， 获 取 系 统管 理 权限 ， 将 给 云 租户 带 来 无 法 估计 的 损失 。 

11) 数据 丢失 、 算 改 或 泄露 

在 云 计算 环境 下 ， 数 据 的 实际 存储 位 置 可 能 在 境外 ， 易 造成 数据 泄露 。 云 计算 系统 聚集 了 
大 量 云 租户 的 应 用 系统 和 数据 资源 ， 容 易 成 为 被 攻击 的 目标 。 一 旦 遭受 攻击 ， 会 导致 严重 的 数 
据 丢失 、 算 改 或 泄露 。 


23.1.3” 云 计算 安全 要 求 


传统 计算 平台 的 安全 主要 包括 物理 和 环境 安全 、 网 络 和 通信 安全 、 设 备 和 计算 安全 、 数 据 
安全 和 应 用 安全 。 在 云 计算 环境 中 ， 除 了 传统 的 安全 需求 外 ， 新 增 的 安全 需求 主要 是 多 租户 安 
全 隔离 、 虚 拟 资源 安全 、 云 服务 安全 合 规 、 数 据 可 信托 管 、 安 全 运 维 及 业务 连续 性 保障 、 隐 私 
保护 等 。 同 时 ， 由 于 云 计 算 系统 承载 着 不 同 用 户 的 应 用 和 数据 ， 相 比 于 传统 计算 平台 的 安全 ， 
其 安全 运 维 要 求 更 高 ， 两 者 对 比如 表 23-1 所 示 。 


表 23-1 传统 安全 与 云 计算 安全 对 比 


安全 要 求 项 类 型 云 计算 安全 
物理 和 环境 安全 Y 
网 络 和 通信 安全 Y 
设 Sifg2 | VY | ， 
数据 安全 | vv | ， 
应 用 安全 | Y 
虚拟 资源 安全 | Y 
MR% 安 人 规 | | " 
多 租户 安全 隔离 V/ 
数据 可 信托 管 V 
隐私 保护 V V 
安全 运 维 V V 


23.2 云 计 算 服务 安全 需求 


本 节 阐 述 云 计 算 服 务 的 安全 需求 ， 主 要 包括 云 计算 技术 安全 需求 、 云 计算 安全 合 规 需 求 、 
云 计 算 隐 私 保护 需求 。 
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23.2.1 云 计算 技术 安全 需求 
按照 上 述 “ 端 - 管 - 云 ”的 安全 威胁 分 析 方法 ， 云 计算 平台 的 技术 安全 需求 主要 分 成 三 个 部 分 。 
1. 云端 安全 需求 分 析 


云端 的 安全 目标 是 确保 云 用户 能 够 获取 可 信 云 服务 。 云 端的 安全 需求 主要 涉及 云 用 户 的 身 
份 标识 和 鉴别 、 云 用 户 资源 访问 控制 、 云 用 户 数据 安全 存储 以 及 云端 设备 及 服务 软件 安全 。 


2. 网 络 安全 通信 安全 需求 分 析 


网 络 安全 通信 的 安全 目标 是 确保 去 用 户 及 时 访问 云 服务 以 及 网 上 数据 及 信息 的 安全 性 。 实 
现 网 络 安全 通信 的 技术 包括 身份 认证 、 密 钥 分 配 、 数 据 加 密 、 信 道 加 密 、 防 火 墙 、VPN、 抗 拒 
绝 服务 等 。 


3. 云 计算 平台 安全 需求 分 析 


云 计 算 平 台 的 安全 目标 是 确保 云 服务 的 安全 可 信 性 和 业务 连续 性 。 云 计算 平台 的 安全 需求 
主要 有 物理 环境 安全 、 主 机 服务 器 安全 、 操 作 系统 、 数 据 库 安全 、 应 用 及 数据 安全 、 云 操作 系 
统 安全 、 虚 拟 机 安全 和 多 租户 安全 隔离 等 。 


23.2.2 云 计 算 安全 合 规 需求 


云 计 算 平台 使 得 网 络 、 计 算 、 存 储 、 数 据 、 应 用 、 服 务 等 资源 大 规模 汇聚 ， 成 为 国家 、 城 
市 及 行业 领域 的 关键 信息 基础 设施 。 相 比 于 传统 计算 模式 ， 云 计算 的 网 络 安全 风险 更 大 。 为 此 ， 
国内 外 相关 机 构 都 相继 颁布 相关 政策 及 标准 规范 ， 用 以 指导 云 计算 平台 的 建设 和 运营 。 


1. 云 计算 安全 国际 管理 标准 规范 


2009 年 4 月 , 云 安 全 联盟 (Cloud Security Alliance, CSA) 非 赢利 性 组 织 在 美国 旧金山 RSA 
大 会 上 正式 成 立 。 云 安全 联盟 的 目的 是 促进 应 用 最 佳 实践 ， 为 云 计算 提供 安全 保障 。 该 联盟 发 
布 了 一 份 云 计算 关键 领域 安全 指南 ， 最 新 版 本 为 4.0， 指 南 的 内 容 涉及 云 计 算 概念 和 体系 架构 、 
治理 和 企业 风险 管理 、 法 律 问题 (合同 和 电子 举证 ) 、 合 规 性 和 审计 管理 、 信 息 治 理 、 管 理 平 
面 和 业务 连续 性 、 基 础 设施 安全 、 虚 拟 化 及 容器 技术 、 事 件 响应 、 通 告 和 补救 、 应 用 安全 、 数 
据 安 全 和 加 密 、 身 份 、 授 权 和 访问 管理 、 安 全 即 服务 、 相 关 技 术 等 各 领域 的 安全 知识 。 


2. 云 计算 安全 国内 管理 标准 规范 


2012 年 , 国务 院 发 布 的 《国务 院 关 于 大 力 推进 信息 化 发 展 和 切实 保障 信息 安全 的 若干 意见 》 
指出 : “严格 政府 信息 技术 服务 外 包 的 安全 管理 ， 为 政府 机 关 提 供 服务 的 数据 中 心 、 云 计算 服 
务 平台 等 要 设 在 境内 。” 除 此 之 外 ， 相 关 部 门 相继 颁发 了 云 计算 服务 安全 相关 管理 要 求 和 标准 
规范 ， 现 列举 如 下 : 


量 510 项 。 信息 安全 工程 师 教程 (第 2 版 ) 


(1) 《关于 加 强 党 政 部 门 云 计算 服务 网 络 安全 管理 的 意见 》。 

该 意见 明确 了 党 政 部 门 云 计 算 服 务 网 络 安全 管理 的 基本 要 求 ， 即 安全 管理 责任 不 变 、 数 据 
归属 关系 不 变 、 安 全 管理 标准 不 变 、 敏感 信息 不 出 境 。 同时 要 求 建立 云 计算 服务 安全 审查 机 制 ， 
对 为 党 政 部 门 提供 云 计算 服务 的 服务 商 ， 参 照 有 关 网 络 安全 国家 标准 ， 组 织 第 三 方 机 构 进行 网 
络 安全 审查 ， 重 点 审查 云 计 算 服 务 的 安全 性 、 可 控 性 。 

(2) 《 云 计算 服务 安全 评估 办 法 》。 

云 计算 服务 安全 评估 重点 评估 内 容 包 括 : 云 平台 管理 运营 者 (以 下 简称 “ 云 服 务 商 ”) 的 
征 信 、 经 营 状况 等 基本 情况 ， 云 服务 商人 员 背 景 及 稳定 性 ， 特 别 是 能 够 访问 客户 数据 、 能 够 收 
集 相关 元 数据 的 人 员 ;， 云 平台 技术 、 产 品 和 服务 供应 链 安 全 情况 ， 云 服务 商 安全 管理 能 力 及 云 
平台 安全 防护 情况 ， 客 户 迁 移 数 据 的 可 行 性 和 便捷 性 ， 云 服务 商 的 业务 连续 性 ， 其 他 可 能 影响 
云 服务 安全 的 因素 。 

(3) 《信息 安全 技术 云 计算 服务 安全 指南 》 (GB/T 31167 一 2014) 。 

该 指南 给 出 云 计 算 的 风险 管理 、 规 划 准 备 、 选 择 服务 商 与 部 署 、 运 行 监管 、 退 出 服务 等 方 
面 的 具体 要 求 。 

(4) 《信息 安全 技术 云 计算 服务 安全 能 力 要 求 》 (GB/T 31168 一 2014) 。 

本 标准 描述 了 以 社会 化 方式 为 特定 客户 提供 云 计算 服务 时 ， 云 服 务 商 应 具备 的 安全 技术 能 
力 ， 提 出 十 类 安全 要 求 ， 即 系统 开发 与 供应 链 安 全 、 系 统 与 通信 保护 、 访 问 控 制 、 配 置 管 理 、 
维护 、 应 急 响 应 与 灾 备 、 审 计 、 风 险 评估 与 持续 监控 、 安 全 组 织 与 人 员 、 物 理 与 环境 安全 。 

(5)《 信 息 安全 技术 网 络 安全 等 级 保护 基本 要 求 第 2 部 分 : 云 计算 安全 扩展 要 求 》(GA/T 
1390.2 一 2017) 。 

该 标准 规定 了 不 同安 全 保护 等 级 云 计 算 平台 及 云 租户 业务 应 用 系统 的 安全 保护 要 求 ， 标 准 
适用 于 指导 分 等 级 的 非 涉 密云 计算 平台 及 云 租户 业务 应 用 系统 的 安全 建设 和 监督 管理 。 

(6) 其 他 。 

《信息 安全 技术 ”政府 网 站 云 计 算 服务 安全 指南 》《 信 息 安全 技术 网 站 安全 云 防护 平台 技 
术 要 求 》《 信 息 安全 技术 数据 出 境 安全 评估 指南 〈 征 求 意见 稿 ) 》《 信 息 安全 技术 云 计 算 服 
务 运行 监管 框架 》 等 。 


23.2.3 云 计 算 隐 私 保护 需求 


云 计算 平台 承载 着 大 量 数据 ,涉及 个 人 用 户 隐 私信 息 。 例如， 身份 证 号 码 、 电 话 号 码 、QQ 
号 码 、 设 备 信 息 、 位 置信 息 、 云 服务 日 志 信 息 等 ， 因 而 云 计算 个 人 数据 安全 保护 至 关 重 要 。 云 
计算 个 人 数据 安全 隐私 保护 要 求 主要 如 下 

(1) 数据 采集 。 

明确 个 人 信息 采集 范围 和 用 途 ， 告 知 用 户 相关 安全 风险 。 

(2) 数据 传输 。 

敏感 个 人 数据 网 络 传输 采用 加 密 安 全 措施 ， 防 止 网 络 通信 过 程 信息 泄露 。 
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(3) 数据 存储 。 

采用 加 密 、 认 证 、 访 问 控制 、 备 份 等 多 种 措施 保护 好 敏感 个 人 数据 安全 ， 避 人 免 数 据 泄露 。 
个 人 数据 信息 按照 规定 保留 相应 时 间 。 

(4) 数据 使 用 。 

制定 相应 特权 管理 、 个 人 信息 披露 等 安全 控制 策略 规则 ， 采 用 实名 认证 、 安 全 标记 、 特 权 
控制 等 措施 ， 限 制 个 人 数据 使 用 范围 、 人 员 ， 防 止 内 部 人 员 滥 用 和 非 正当 披露 个 人 信息 。 

(5) 数据 维护 。 

制定 敏感 个 人 数据 安全 生命 周期 管理 流程 ,安全 管理 制度 和 措施 符合 国家 网 络 安全 管理 法 
律 法 规 政策 要 求 ， 相 关 人 员 签 订 保密 协议 ， 敏 感 个 人 数据 按 规 清除 。 

(6) 数据 安全 事件 处 置 。 

制订 针对 个 人 信息 安全 事件 的 应 急 预 案 ， 阻 止 安全 事件 扩大 。 


23.3 云 计 算 安全 保护 机 制 与 技术 方案 


云 计算 被 列 为 网 络 安全 等 级 保护 2.0 的 重要 保护 对 象 ， 本 节 主 要 内 容 是 云 计算 的 安全 防护 
对 象 、 云 计算 的 安全 机 制 、 云 计算 的 安全 管理 、 云 计算 的 安全 运 维 。 


23.3.1 云 计 算 安全 等 级 保护 框架 

根据 网 络 安全 等 级 保护 2.0 的 要 求 ， 对 云 计 算 实施 安全 分 级 保护 ， 共 分 成 五 个 级 别 。 等 级 
保护 标准 首先 要 求 保证 云 计算 基础 设施 位 于 中 国境 内 ， 并 从 技术 、 管 理 两 方面 给 出 具体 规定 。 
围绕 “一 中 心 ， 三 重 防护 ”的 原则 ， 构 建 云 计 算 安全 等 级 保护 框架 ， 如 图 23-5 所 示 。 其 中 ， 一 
个 中 心 是 指 安全 管理 中 心 ; 三 重 防护 包括 安全 计算 环境 、 安 全 区 域 边界 和 安全 通信 网 络 。 


计算 环境 安全 


访问 层 laaS PaaS SaaS 
用 | : 租户 1 租户 n 租户 1 租户 n 末 pe 
仿 | | 时 || 获 据 安 委 | 区 据 安 多 | 欧 据 安全 | 全 据 安 全 人 所 安 全 
和 | | 时 3 3 安全 上 区 据 安全 全 
ee 层 ||[ 巧 用 安 公 | 应 用 安 公 | 应用 安全 | [ 训 用 安全 用 安 
It i || 网 络 访问 $s ee 二 人 
| Se | 安全 软件 平台 安全 软件 平台 安全 
! 网 络 和 ]|| 同 络 和 二 === 
十 | apt 主机 安全 | 主机 安全 咱 网络 和 主机 安全 网 络 和 主机 安全 | key 安全 管理 
: |[ wes 商人 | | 安全 宙 计 
I i | 服务 虚拟 [计算 训 源 网 络 资源 存储 资源 : 
用 : 安全 | 分 布 式 操作 系统 /虚拟 机 监视 器 
全 | : 物理 [ 基础 硬 件 与 网 络 安全 | | «3 
| 和 并 安 全 | 


23-5 ” 云 计算 安全 等 级 保护 设计 框架 示意 图 
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23.3.2 云 计算 安全 防护 


云 计 算 平台 是 综合 复杂 的 信息 系统 ， 涉 及 物理 和 环境 安全 、 网 络 和 通信 安全 、 设 备 和 计算 
安全 、 应 用 和 数据 安全 。 云 计算 安全 保障 综合 集成 了 不 同 的 网 络 安全 技术 ， 构 成 多 重 网 络 安全 
机 制 ， 如 表 23-2 所 示 。 


表 23-2 云 计算 平台 技术 措施 等 级 保护 要 求 


保护 对 象 关 开 安全 措施 内 容 
| 物理 位 置 远 择 、 物 理 访问 控制 、 防 盗 究 和 防 破坏 、 防 雷击 、 防 火 、 防水 和 防 

物理 和 环境 安全 。 | 潮 、 防 静电 、 温 湿度 控制 、 电 力 供应 、 电 磁 防护 

一 | 网 络 架构 、 通 信 传 输 、 边 界 防护 、 访 问 控制 、 入 信 防 范 、 亚 意 代码 防范 、 安 
网 络 和 通信 安全 。 | 和 4 年 计 、 集 中 管控 
i 身份 鉴别 、 访 问 控制 、 安 全 审计 、 六 侵 防 范 、 恶 意 代 码 防 范 、 次 源 控制 、 借 
设备 和 计算 安全 。 | 这 从 别 六 
应 用 和 下 报 和 A | 身份 检 别 、 访 问 控 币 、 安 全 审计 、 软 伯 容 铺 、 区 源 控制、 接口 安全 、 弛 也 守 

整 性 、 数 据 保密 性 、 数 据 备 份 恢复 、 剩 余 信息 保护 、 个 人 信息 保护 


常见 的 云 计 算 网 络 安全 机 制 如 下 : 

(1) 身份 鉴别 认证 机 制 。 

身份 鉴别 认证 机 制 解决 云 计算 中 各 种 身份 标识 及 鉴别 问题 。 云 计算 提供 商 通 常 使 用 用 
户 名 /口令 认证 。 除 此 之 外 ， 云 用 户 身份 认证 技术 还 有 强制 密码 策略 、 多 因子 认证 、Kerberos。 

(2) 数据 完整 性 机 制 。 

云 计算 平台 及 云 计算 服务 过 程 中 涉及 大 量 的 数据 处 理 ， 例 如 ， 一 台 虚拟 机 对 应 一 个 文件 。 云 
租户 把 数据 托管 到 云 平台 ， 要 求 云 服务 商 提供 高 安全 保障 ， 确 保 数据 能 用 ， 而 且 能 够 防止 数据 受到 
损害 。 数 字 签 名 是 保护 云 计 算数 据 完 整 性 的 重要 措施 。 例 如 ，OpenStack Glance 提供 镜像 签名 。 

(3) 访问 控制 机 制 。 

云 平 台 承载 着 多 个 租户 的 资源 及 敏感 的 系统 资源 ， 云 计算 资源 的 使 用 要 在 一 定 的 安全 规则 
下 经 过 授权 才能 保证 安全 使 用 。 例如 , OpenStack 使 用 强制 访问 控制 (Mandatory Access Control) 
和 角色 访问 控制 (RBAC) 保护 云 计 算 的 安全 。 

(4) 入 侵 防 范 机 制 。 

云 计 算 平台 具有 开放 性 ， 难 以 避免 地 会 受到 漏洞 利用 、 拒 绝 服务 、 特 权 提升 、 内 部 安全 威 
胁 等 各 种 网 络 攻击 的 威胁 。 为 保护 云 计 算 平 台 的 安全 , 通常 使 用 IDS/IPS 防范 已 知 的 漏洞 攻击 ， 
或 者 采用 沙 箱 系统 检测 零 日 漏洞 。 同 时 部 署 抗 拒绝 服务 攻击 安全 措施 ， 保 障 云 计算 平台 的 业务 
连续 性 。 例 如 ，OpenStack 使 用 可 用 区 (Availability Zones) 实现 物理 隔离 、 元 余 。 针 对 云 计算 
平台 的 特权 提升 威胁 ，OpenStack 使 用 SELinux/AppArmor 保护 服务 和 虚拟 管理 程序 
(Hypervisor) 的 安全 ， 将 OpenStack 服务 放 在 DMZ 区 域 中 ， 仅 仅 允许 API 方式 访问 服务 。 为 
了 防范 云 租户 的 安全 威胁 ， 对 每 个 VM 或 租户 进行 存储 加 密 。OpenStack Nova 提供 可 信 的 过 滤 
器 以 为 负载 调度 可 信任 的 资源 。 
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(5) 安全 审计 机 制 。 

云 计 算 平 台 对 安全 日 志 进行 集中 管理 ， 以 便于 事后 分 析 问 题 。 

(6) 云 操作 系统 安全 增强 机 制 。 

目前 ， 商 业 和 开源 的 云 操作 系 统 难 以 避免 地 存在 安全 漏洞 ， 甚 至 有 些 漏洞 将 导致 虚拟 机 逃 
逸 。 为 此 ， 针 对 虚拟 机 管理 程序 (Hypervisor) 的 安全 问题 ， 提 供 热 补丁 修复 、 恶 意 程序 检测 ， 
以 防止 云 操作 系统 的 漏洞 被 利用 而 危及 整个 云 计 算 平台 的 安全 。 


23.3.3 ” 云 计算 安全 管理 
根据 网 络 安全 等 级 保护 的 要 求 ， 云 计算 平台 安全 组 织 管理 的 内 容 要 求 主要 如 表 23-3 所 示 。 
表 23-3 云 计算 平台 安全 组 织 管理 保障 措施 等 级 保护 要 求 


安全 管理 类 型 安全 管理 要 求 
安全 策略 和 管理 制度 。 | 安全 策略 、 管 理 制度 制定 和 发 布 、 评 审 和 修订 
岗位 设置 、 人 员 配 备 、 授 权 和 审批 沟通 和 合作 、 审 核 和 检查 、 人 员 
安全 管理 机 构 和 人 员 | 录用 、 人 员 离 岗 、 安 全 意识 教育 和 培训 、 外 部 人 员 访 问 管理 
系统 定 级 和 备案 、 安 全 方案 设计 、 产 品 采购 和 使 用 、 自 行 软件 开发、 
安全 管理 对 象 外 包 软 件 开发 、 工 程 实施 、 测 试验 收 、 系 统 交 付 、 等 级 测评 、 服 务 供 


应 商 选择 、 云 服务 商 选 择 、 供 应 链 管理 
23.3.4” 云 计算 安全 运 维 


根据 等 级 保护 要 求 ， 云 计算 安全 运 维 的 等 级 保护 内 容 主要 有 云 计算 环境 与 资产 运 维 管理 、 
云 计算 系统 安全 漏洞 检查 与 风险 分 析 、 云 计算 系统 安全 设备 及 策略 维护 、 云 计算 系统 安全 监管 、 
云 计算 系 统 安全 监测 与 应 急 响 应 ， 具 体 要 求 如 表 23-4 所 示 。 


表 23-4 云 计算 服务 安全 运 维 保障 要 求 


要 求 糯 到 内 容 
云 计算 环境 与 资产 运 维 管理 环境 管理 、 资 产 管理 、 介 质 管理 、 数 据 管理 
从 相册 | 富安 人 大 安全 人 天 检 查 安全 
ee 网 络 和 系统 安全 管理 、 恋 意 代码 防 苑 管理 、 
全 密码 管理 、 设 备 维护 管理 、 配 置 管理 、 变 更 管理 

二 计算 系统 安全 监管 云 计算 系统 安全 测评 、 外 包 运 维 管理 
a 监控 和 审计 管理 、 应 急 预 案 管 理 、 安 全 事件 处 置 、 各 份 


与 恢复 管理 

常见 的 云 计算 安全 运 维 的 安全 措施 如 下 : 

(1) 云 计算 安 全 风险 评估 机 制 。 

持续 分 析 云 计算 平台 的 资产 清单 、 安 全 脆弱 性 、 安 全 威胁 以 及 安全 措施 ， 对 云 计算 平台 安 
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全 进行 定量 定性 风险 分 析 ， 掌 握 云 计算 平台 的 风险 。 

(2) 云 计算 内 部 安全 防护 机 制 。 

针对 云 计算 平台 的 运 维 安全 风险 ,采用 身份 强 认 证 、 安 全 操作 审计 、 远 程 安全 登录 等 措施 
保护 运 维 操作 的 安全 性 。 云 计算 平台 通常 采用 多 因素 认证 、 堡 又 机 、SSH、VPN 等 安全 措施 ， 
强化 运 维 操作 的 安全 保护 。 

(3) 云 计算 网 络 安全 监测 机 制 。 

通过 收集 云 计 算 平台 的 网 络 流量 、 系 统 日 志 、 安 全 漏洞 等 数据 ， 分 析 云 计算 平台 的 网 络 安 
全 状况 及 演变 趋势 。 

(4) 云 计算 应 急 响 应 机 制 。 

针对 云 计 算 平台 洪 在 的 网 络 安全 事件 ， 事 先 制定 应 急 响 应 预案 。 常见 的 安全 事件 有 端口 扫 
描 、 暴 力 破 解 、 恶 意 代 码 、 拒 绝 服务 、 数 据 泄 露 、 漏 洞 利 用 和 DNS 支持 等 。 对 于 云 计算 平台 
来 说 ， 重 点 是 保障 平台 的 可 用 性 及 数据 安全 ， 能 够 抵御 拒绝 服务 攻击 ， 防 止 云 租户 的 数据 丢失 
和 泄露 。 

(5) 云 计算 容 灾 备份 机 制 。 

云 计 算 平台 承载 大 量 应 用 ， 其 业务 的 安全 持续 运营 至 关 重 要 。 安 全 事件 导致 停机 事件 时 有 
报道 。 为 此 ， 建 立 异 构 云 容 灾 备份 机 制 非常 重要 ， 工 业界 常 采 用 “两 地 三 中 心 ”的 容 灾 机 制 。 
其 中 ， 两 地 是 指 同城 、 异 地 ， 三 中 心 是 指 生 产 中 心 、 同 城 容 灾 中 心 、 异 地 容 灾 中 心 。 


23.4 ” 云 计算 安全 综合 应 用 案例 分 析 


根据 公开 资料 ， 本 节 给 出 工业 界 阿里 云 、 腾 讯 云 、 华 为 云 等 云 计算 的 安全 应 用 参考 案例 。 
同时 ， 综 合 分 析 工 业界 关于 云 计算 隐私 保护 的 技术 措施 。 


23.4.1 阿里 云 安全 


本 节 内 容 来 自 阿 里 云 网 站 公布 的 资料 。 阿 里 云 致力 于 以 在 线 公 共 服 务 的 方式 ， 提 供 安全 、 
可 靠 的 计算 和 数据 处 理 能 力 ， 让 计算 和 人 工 智 能 成 为 普 惠 科技 。 此 外 ， 阿 里 云 为 全 球 客户 部 署 
200 多 个 飞天 数据 中 心 ， 通 过 底层 统一 的 飞天 操作 系统 ， 为 客户 提供 全 球 独 有 的 混合 云 体验 。 
目前 ， 阿 里 云 是 通过 了 公安 部 等 级 保护 测评 的 云 计算 系统 ， 获 得 了 云 安全 国际 认证 金牌 (CSA 
STAR Certification) 、ISO 27001 信息 安全 管理 体系 国际 认证 。 根 据 已 公开 的 资料 ， 阿 里 云 的 安 
全 体系 结构 如 图 23-6 所 示 。 

针对 云 安全 ， 阿 里 云 建立 了 安全 防护 机 制 、 监 控 机 制 、 审 计 机 制 、 身 份 认证 机 制 以 及 安全 
运 维 机 制 ， 如 图 23-7 所 示 。 

面 对 云 上 租户 的 安全 需求 ,阿里 云 提供 云 盾 、DDosS 高 防 他、Web 应 用 防火 墙 、 态 势 感知 、 
SSL 证 书 、 云 防火 墙 、 加 密 服 务 、 实 人 认证 等 多 种 云 安全 服务 产品 。 
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23-6 阿里 云 安全 体系 结构 示意 图 


El meee 


远程 维护 人 员 VPN 


% 


本 地 维护 人 员 


审计 人 员 


图 23-7 阿里 云 安全 机 制 示意 图 
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23.4.2 


腾讯 云 安全 


本 节 内 容 来 自 腾讯 云 网 站 及 《腾讯 云 安全 白皮书 》。 腾 讯 云 提供 了 网 络 安全 、 终 端 安全 、 
应 用 安全 、 数 据 安全 、 业 务 安全 、 安 全 管理 、 安 全 服务 、 身 份 认证 等 网 络 安全 防护 技术 体系 
具体 的 安全 措施 描述 如 下 。 


1. 网 络 安全 


DDoS 防护 (Anti-DDoS) 。 提 供 DDoS 高 防 包 、DDoS 高 防 IP 等 多 种 DDoS 解决 方 
案 ， 应 对 DDoS 攻击 问题 。 通 过 充足 、 优 质 的 DDoS 防护 资源 ， 结 合 持 续 进 化 的 “ 自 
研 +AI 智能 识别 ”清洗 算法 ， 保 障 用 户 业务 的 稳定 、 安 全 运行 。 

云 防火 墙 。 基 于 公有 云 环境 的 SaaS 化 防火 墙 ， 为 用 户 提供 互联 网 边界 、VPC 边界 的 
网 络 访问 控制 ， 同 时 基于 流量 嵌入 多 种 安全 能 力 ， 实 现 访问 管控 与 安全 防御 的 集成 化 
与 自动 化 。 

网 络 入 侵 防护 系统 。 通 过 旁 路 部 署 方式 ， 无 变更 无 侵入 地 对 网 络 4 层 会 话 进行 实时 阻 
断 ， 并 提供 了 阻 断 API， 方 便 其 他 安全 检测 类 产品 调用 ， 此 外 ， 网 络 入 侵 防 护 系统 提 
供 全 量 网 络 日 志 存 储 和 检索 、 安 全 告警 、 可 视 化 大 屏 等 功能 ， 解 决 等 保 合 规 、 日 志 审 
计 、 行 政 监管 以 及 云 平台 管控 等 问题 。 

腾讯 云 样本 智能 分 析 平 台 。 依靠 深度 沙 箱 中 自 研 的 动态 分 析 模 块 、 静 态 分 析 模 块 以 及 稳定 
高 效 的 任务 调度 框架 ， 实 现 自动 化 、 智 能 化 、 可 定制 化 的 样本 分 析 ; 通过 建设 大 规模 分 析 
集群 ,包括 深度 学 习 在 内 的 多 个 高 覆盖 率 的 恶意 样本 检测 模型 , 可 以 得 知 样本 的 基本 信息 、 
触发 的 行为 、 安 全 等 级 等 信息 ， 从 而 精准 高 效 地 对 现 网 中 的 恶意 样本 进行 打击 。 


2. 终端 安全 


主机 安全 。 基 于 腾讯 安全 积累 的 海量 威胁 数据 ， 利 用 机 器 学 习 为 用 户 提供 黑客 入 侵 检 
测 和 漏洞 风险 预警 等 安全 防护 服务 ， 主 要 包括 密码 破解 拦截 、 异 常 登录 提醒 、 木 马 文 
件 查 杀 、 高 危 漏洞 检测 等 安全 功能 。 

腾讯 云 反 病毒 引擎 (Antivims) 。 腾 讯 反 病毒 实验 室 独立 研发 的 反 病 毒 产品 ， 运 行 于 
终端 的 判 毒 程序 ， 其 包含 腾讯 反 病毒 本 地 引擎 和 腾讯 反 病毒 云 两 大 功能 模块 ， 开 放 多 
个 功能 性 接口 SDK， 可 支持 多 种 平台 使 用 且 无 须 联网 。 

腾讯 终端 安全 管理 系统 。 基 于 腾讯 20 年 安全 积累 和 腾讯 电脑 管家 十 余年 数 亿 用 户 的 
产品 、 运 营 与 技术 沉淀 ， 将 百 亿 量 级 云 查 杀 病 毒 库 、AI 杀毒 引擎 、 大 数据 安全 分 析 
引擎 等 安全 技术 和 能 力 应 用 到 政 企 内 部 ， 打 造 集 病毒 查 杀 、 桌 面 管控 、 安 全 运 维 、 安 
全 检测 与 响应 等 新 一 代 的 一 体 化 的 终端 安全 解决 方案 。 

腾讯 云 零 信任 无 边界 访问 控制 系统 (Zero Trust Access Control system，ZTAC) 。 依 赖 
终端 安全 、 身 份 安全 、 链 路 安全 三 大 核心 能 力 ， 实 现 终端 在 任意 网 络 环境 中 安全 、 稳 
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定 、 高 效 地 访问 企业 资源 及 数据 。 
。 ”移动 终端 安全 管理 系统 。 用 户 可 以 根据 自身 需求 ， 集 中 管理 、 配 置 和 保护 终端 设备 、 
应 用 程序 及 移动 数据 ， 提 高 IT 管理 效率 ， 保 障 移动 环境 安全 。 


3. 应 用 安全 


。 ”腾讯 云 Web 应 用 防火 墙 。 解 决 腾讯 云 内 及 云 外 用 户 应 对 Web 攻击 、 入 侵 、 漏 洞 利用 、 
挂 马 、 自 改 、 后 门 、 礁 虫 、 域 名 劫持 等 网 站 及 Web 业务 安全 防护 问题 。 通 过 部 署 腾讯 
云 网 站 管家 服务 , 将 Web 攻击 威胁 压力 转移 到 腾讯 云 网 站 管家 防护 集群 节点 ， 分 钟 级 
获取 腾讯 Web 业务 防护 能 力 ， 保 护 组 织 网 站 及 Web 业务 安全 运营 。 

。 ”腾讯 应 用 级 智能 网 关 。 基 于 零 信任 策略 ， 对 企业 应 用 和 服务 提供 集中 管控 ， 统 一 防 控 
和 统一 审计 ， 保 障 企业 应 用 和 服务 更 安全 、 更 可 靠 。 

。 ”漏洞 扫描 服务 。 用 于 监测 网 站 漏洞 的 安全 服务 ， 提 供 7X24 小 时 准确 、 全 面 的 漏洞 监 
测 服 务 ， 并 提供 专业 的 修复 建议 ， 从 而 避免 漏洞 被 黑客 利用 ， 影 响 资产 安全 。 

。。 移动 应 用 安全 。 涵 盖 应 用 加 固 、 安 全 测评 、 兼 容 性 测试 、 盗 版 监控 、 骨 省 监测 、 安 全 
组 件 等 服务 。 

。。 手 游 安全 。 上 有 具备 24 小 时 安全 保障 能 力 ， 支 持 手 游 厂 商 快速 应 对 手 游 作弊 、 手 游 算 改 
破解 等 常见 的 游戏 安全 问题 。 


4. 业务 安全 


。 ”天 御 借 贷 反 欺 诈 。 识 别 银行 、 证 券 、 保 险 等 金融 行业 的 欺诈 风险 。 通 过 腾讯 云 的 人 工 
智能 和 机 器 学 习 能 力 ， 准 确 识别 恶意 用 户 与 行为 ， 解 决 客户 在 支付 、 借 贷 、 理 财 、 风 
控 等 业务 环节 遇 到 的 欺诈 威胁 ， 提 升 风 险 识 别 能 力 。 

。 ”保险 反 欺 诈 。 通 过 AI 人 工 智 能 风 控 模 型 ， 准 确定 位 在 申 保 、 核 保 、 理 赔 等 业务 环节 
中 所 遇 到 的 欺诈 威胁 。 

。 ”登录 保护 服务 。 针 对 网 站 和 App 的 用 户 登 录 场 景 ， 实 时 检测 是 否 存在 盗号 、 撞 库 等 恶 
意 登 录 行 为 ， 发 现 异 常 登录 ， 降 低 恶 意 用 户 登 录 风 险 。 

。。 腾讯 云 验证 码 。 基 于 十 道 安全 栅栏 ， 为 网 页 、App、 人 小 程序 开发 者 打造 立体 、 全 面 的 
人 机 验证 ， 最 大 限度 地 保护 注册 登录 、 活 动 秒杀 、 点 赞 发 帖 、 数 据 保 护 等 各 大 场景 下 
的 业务 安全 。 

。 ”腾讯 云 活动 防 刷 。 针 对 电 商 、020、P2P、 游 戏 、 支 付 等 行业 在 促销 活动 中 直到 “ 羊 
毛 党 ”恶意 刷 取 优 惠 福利 的 行为 ， 通 过 防 刷 引擎 ， 精 准 识别 出 “ 葡 羊 毛 ” 恶 意 行为 的 
活动 防 刷 服务 ， 避 免 了 企业 被 刷 带 来 的 巨大 经 济 损失 。 

。 注册 保护 服务 。 针 对 网 站 、App 的 线 上 注册 场景 ， 遇 到 “恶意 注册 ”“ 小 号 注册 ”“ 注 
册 器 注册 ”等 恶意 行为 ， 提 供 基 于 天 御 DNA 算法 的 恶意 防护 引擎 ， 从 账号 、 设 备 和 
行为 三 个 维度 有 效 识别 “恶意 注册 ”， 从 “源头 ”上 防范 业务 风险 。 


国 51s 项 。 信息 安全 工程 师 教程 (第 2 版 ) 


营销 风 控 服 务 。 通 过 腾讯 安全 风 控 模型 和 AI 关联 算法 ， 快 速 识别 恶意 请 求 ， 精 准 打 
击 “ 羊 毛 党 ”， 提 升 资金 使 用 效率 ， 还 原 数据 真实 性 。 

文本 内 容 安全 服务 。 使 用 了 深度 学 习 技术 ， 可 有 效 识 别 涉 黄 、 涉 政 、 涉 恐 等 有 害 内 容 ， 
支持 用 户 配 置 词 库 , 打击 自 定 义 的 违规 文本 。 通 过 API 接口 , 能 检测 内 容 的 危险 等 级 ， 
对 于 高 危 部 分 直接 过 滤 ， 可 疑 部 分 人 工 复审 ， 从 而 节省 审核 人 力 ， 防 范 业务 风险 。 
图 片 内 容 安全 。 能 精准 识别 涉 黄 、 涉 恐 、 涉 政 等 有 害 内 容 ， 支 持 配置 图 片 黑 名单 ， 打 
击 自 定义 的 违规 类 型 。 识 别 结果 分 为 正常 、 可 疑 与 违规 三 部 分 ， 建 议 放行 正常 的 图 片 
人 工 审查 可 疑 的 图 片 ， 屏 项 违规 的 图 片 ， 节 省 人 力 成 本 ， 提 高 审核 效率 。 

营销 号 码 安全 。 提 供 一 站 式 、 精 准 的 号 码 安全 感知 保护 及 预防 服务 ， 涵 盖 号 码 安全 
防护 、 风 险 号 码 识别 及 恶意 呼叫 治理 等 多 领域 能 力 。 

业务 风险 情报 。 提 供 全 面 、 实 时 、 精 准 的 业务 风险 情报 服务 。 通 过 简单 的 API 接 入 ， 
即 可 获取 业务 中 下、 号 码 、App、URL 等 的 画像 数据 ， 对 其 风险 进行 精确 评估 ， 做 到 
对 业务 风险 、 黑 产 攻击 实时 感知 、 评 估 、 应 对 、 止 损 。 


5. 数据 安全 


腾讯 云 堡垒 机 。 结 合 堡 从 机 与 人 工 智能 技术 ， 为 企业 提供 运 维 人 员 操作 审 计 ， 对 异常 
行为 进行 告警 ， 防 止 内 部 数据 泄密 。 

腾讯 云 数据 安全 审计 。 基 于 人 工 智能 的 数据 库 安全 审计 系统 ， 可 挖掘 数据 库 运 行 过 程 
中 各 类 潜在 风险 和 隐患 ， 为 数据 库 安全 运行 保驾 护航 。 

数据 安全 治理 中 心 。 通 过 数据 资产 感知 与 风险 识别 ， 对 企业 云 上 敏感 数据 进行 定位 与 
分 类 分 级 ， 并 帮助 企业 针对 风险 问题 设置 数据 安全 策略 ， 提 高 防护 措施 有 效 性 。 
敏感 数据 处 理 (Data Mask，DMask) 。 提 供 敏 感 数 据 脱 敏 与 水 印 标记 工具 服务 ， 可 为 
数据 系统 中 的 敏感 信息 进行 脱 敏 处 理 并 在 泄露 时 提供 追溯 依据 。 

云 加 密 机 。 基 于 国 密 局 认证 的 物理 加 密 机 (Hardware Security Module，HSM) ， 利 用 虚 
拟 化 技术 ， 提 供 弹 性 、 高 可 用 、 高 性 能 的 数据 加 解密 、 密 钥 管理 等 云 上 数据 安全 服务 ; 
符合 国家 监管 合 规 要 求 ， 满 足 金融 、 互 联网 等 行业 加 密 需 求 ， 保 障 业务 数据 隐私 安全 。 


. 安全 管理 


安全 运营 中 心 (Security Operation Center，SOC) 。 腾 讯 云 原 生 的 统一 安全 运营 与 管理 
平台 ， 提 供 资 产 自动 化 盘点 、 互 联网 攻击 面 测绘 、 云 安全 配置 风险 检查 、 合 规 风 险 评 
估 、 流 量 威胁 感知 、 泄 漏 监测 、 日 志 审计 与 检索 调查 、 安 全 编排 与 自动 化 响应 及 安全 
可 视 等 能 力 ， 帮 助 云 上 用 户 实现 事前 安全 预防 ， 事 中 事件 监测 与 威胁 检测 ， 事 后 响应 
处 置 的 一 站 式 、 可 视 化 、 自 动 化 的 云 上 安全 运营 管理 。 

安全 运营 中 心 (私有 云 )。 以 安全 检测 为 核心 ， 以 事件 关联 分 析 、 腾 讯 威胁 情报 为 重 
点 ， 以 3D 可 视 化 为 特色 ， 以 可 靠 服务 为 保障 ， 可 针对 企业 面临 的 外 部 攻击 和 内 部 潜 
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在 风险 进行 深度 检测 ， 为 企业 提供 及 时 的 安全 告警 。 适 用 于 多 种 安全 运营 管理 场景 ， 

通过 海量 数据 多 维度 分 析 、 及 时 预警 ， 对 威胁 及 时 做 出 智能 处 置 ， 实 现 全 网 安全 态势 

可 知 、 可 见 、 可 控 的 闭环 。 

。 ” 密 钥 管理 系统 。 让 用 户 创建 和 管理 密 钥 ， 保 护 密 钥 的 保密 性 、 完 整 性 和 可 用 性 ， 满 足 

用 户 多 应 用 多 业务 的 密 钥 管理 需求 ， 符 合 监管 和 合 规 要 求 。 

。 凭据 管理 系统 。 提 供 凭据 的 创建 、 检 索 、 更 新 、 删 除 等 全 生命 周期 的 管理 服务 ， 结 合 
资源 级 角色 授权 轻松 实现 对 敏感 凭据 的 统一 管理 。 针 对 敏感 配置 、 敏 感 凭据 硬 编码 带 
来 的 泄露 风险 问题 ， 用 户 或 应 用 程序 可 通过 调用 Secrets Manager API 来 检索 凭据 ， 有 
效 避 免 程序 硬 编码 和 明文 配置 等 导致 的 敏感 信息 泄密 以 及 权限 失控 带 来 的 业务 风险 。 


7. 安全 服务 


。 ”专家 服务 。 由 专业 的 安全 专家 团队 提供 安全 咨询 、 网 站 渗透 测试 、 应 急 响 应 等 保 合 规 
等 服务 。 

。 ”公共 互联 网 威胁 量化 评估 提供 实时 的 、 客观 的 网 络 安全 风险 量化 与 风险 评估 的 服务 ， 
通过 微 信 小 程序 能 够 直观 呈现 企业 网 络 安全 指数 、 安 全 等 级 及 详细 安全 问题 等 信息 。 

。 ”威胁 情报 云 查 服务 。 提 供 威胁 情报 (IoC) 查询 服务 、IP/Domain/ 文 件 等 信誉 查询 服务 。 

。 ”网 络 资产 风险 监测 系统 。 能 够 对 网 络 设备 及 应 用 服务 的 可 用 性 、 安 全 性 与 合 规 性 等 进行 定 
期 的 安全 扫描 、 持 续 性 的 风险 预警 和 漏洞 检测 ， 并 且 提 供 专 业 的 修复 建议 ， 降 低 安全 风险 。 


8. 用 户 身份 验证 


腾讯 云 拥有 海量 的 数据 分 析 和 人 脸 、 图 片 的 训练 集 ， 腾 讯 云 提供 身份 证 OCR、 人 脸 比 对 、 
活体 检测 等 技术 ， 能 在 线 实现 用 户 身份 秒 级 确认 ， 有 效 解决 高 风险 行业 线 下 复杂 的 身份 验证 问 
题 ， 满 足 核 身 要 求 极 高 的 业务 场景 需求 ， 其 安全 机 制 如 图 23-8 所 示 。 
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23-8 ”腾讯 云 人 脸 核 身 安全 机 制 示意 图 
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23.4.3 ”华为 云 安全 


本 节 内 容 来 自 华为 云 网 站 公布 的 资料 和 《华为 云 数 据 安全 白皮书 》。 华 为 云 提 供 云 计 算 、 
云 存 储 、 云 网 络 、 云 安全 、 云 数据 库 、 云 管理 与 部 署 应 用 等 开 基础 设施 云 服 务 ， 让 客户 像 用 水 
用 电 一 样 使 用 ICT 服务 。 为 保护 云 安 全 ， 华 为 云 构建 了 芯片 、 平 台 、 系 统 、 应 用 、 数 据 、 开 发、 
生态 、 隐 私 等 安全 防护 技术 体系 ， 有 具体 技术 措施 描述 如 下 。 


1. 芯片 级 可 信 计 算 和 安全 加 密 


华为 公司 推出 支持 国 密 算法 的 可 信服 务 器 和 可 信 云 平台 解决 方案 。 基 于 可 信 计 算 模块 芯片 ， 
华为 云 具备 对 云 平台 主机 进行 完整 性 度量 及 提供 更 多 安全 特性 的 能 力 , 降低 云 主 机 的 软 硬 件 被 算 
改 的 风险 ， 满 足 更 高 的 安全 需求 。 华 为 云 基于 Intel SGX 技术 ， 构 建 芯 片 级 、 轻 量 型 的 密 钥 管理 
和 数据 加 密 能 力 。 一 方面 ， 摆 脱 对 传统 硬件 存储 模块 (HSM) 的 依赖 ， 另 一 方面 ， 通 过 芯片 级 的 
安全 环境 进行 高 性 能 加 解密 运算 ， 有 效 降 低 明文 内 存 泄露 风险 ， 确 保 使 用 中 的 数据 安全 。 


2. 平台 安全 


华为 云 统一 虚拟 化 平台 (UVP) ， 直 接 运 行 于 物理 服务 器 之 上 ， 通 过 对 服务 器 物理 资源 的 
抽象 ， 在 单个 物理 服务 器 上 构建 多 个 同时 运行 、 相 互 隔离 的 虚拟 机 执行 环境 。UVP 基于 硬件 畏 
助 虚拟 化 技术 提供 虚拟 化 能 力 ， 为 虚拟 机 提供 高 效 的 运行 环境 ， 并 且 保 证 虚拟 机 运行 在 合法 的 
空间 内 ， 避 免 虚 拟 机 对 UVP 或 其 他 虚拟 机 发 起 非 授权 访问 。 

3. 系统 安全 


华为 EulerOS 通过 了 公安 部 信息 安全 技术 操作 系统 安全 技术 要 求 四 级 认证 。EulerOS 能 
够 提供 可 配置 的 加 固 策略 、 内 核 级 OS 安全 能 力 等 各 种 安全 技术 以 防止 入 侵 ， 保 障 客户 的 系 
统 安全 。 


4. 应 用 安全 


各 应 用 通过 华为 公司 自 研 的 API 网 关 向 客户 提供 标准 化 集成 接口 , 具备 严格 的 身份 认证 及 
鉴 权 、 传 输 加 密 保 护 、 细 粒度 流量 控制 等 安全 能 力 ， 防 范 数据 被 窃取 和 嗅 探 。 并 且 ， 华 为 云 通 
过 深度 学 习 、 运 行 时 应 用 保护 、 去 中 心 化 认证 等 技术 的 运用 ， 进 一 步 打造 用 户 行为 画像 、 业 务 
风险 控制 等 高 级 安全 能 力 ， 实 时 监控 和 拦截 异常 行为 ， 保 护 应 用 服务 安全 稳定 运行 。 

S. 数据 安全 

华为 云 构建 全 数据 生命 周期 的 安全 防护 能 力 。 通 过 自动 化 敏感 数据 发 现 、 动 态 数据 脱 敏 、 
高 性 能 低 成 本 数据 加 密 、 快 速 异 常 操作 审计 、 数 据 安全 销毁 等 多 项 技术 的 研究 与 应 用 ， 实 现 数 


据 在 创建 、 存 储 、 使 有 用、 共享、 归档 、 销 毁 等 多 个 环节 的 管控 ， 保 障 云 上 数据 安全 。 具 体 的 数 
据 安全 机 制 主要 有 数据 隔离 、 数 据 加 密 、 数 据 宛 余 。 


第 23 章 ， 云 计算 安全 需求 分 析 与 安全 保护 I 程 “ 国 521 苦 


。 数据 隔离 。 华 为 云 各 服务 产品 和 组 件 实现 了 隔离 机 制 ， 避 免 客 户 间 有 意 或 无 意 的 非 授 
权 访 问 、 算 改 等 行为 ， 降 低 数据 泄露 风险 。 以 数据 存储 为 例 ， 华 为 云 的 块 存储 、 对 象 
存储 、 文件 存储 等 服务 均 将 客户 数据 隔离 作为 重要 特性 ,服务 设计 的 实现 因 服务 而 异 。 
如 块 存储 ， 数 据 隔离 以 卷 〈 云 硬盘 ) 为 单位 进行 ， 每 个 卷 都 关联 了 一 个 客户 标识 ， 挂 
载 该 卷 的 虚拟 机 也 必须 具有 同样 的 客户 标识 , 才能 完成 卷 的 挂 载 , 确保 客户 数据 隔离 。 

。 数据 加 密 。 华 为 云 的 多 个 服务 采用 与 数据 加 密 服 务 (DEW) 集成 的 设计 ， 方 便 客户 管理 
密 钥 ， 客 户 可 以 通过 简单 的 加 密 设 置 ， 实 现 数据 的 存储 加 密 。DEW 已 经 支持 对 象 存储 、 
云 硬盘 、 云 镜像 、 云 数据 库 和 弹性 文件 存储 等 多 个 服务 ， 并 且 数 量 还 在 不 断 增加 ， 极 大 地 
方便 了 数据 加 密 操作 。 华 为 云 服务 为 客户 提供 控制 台 和 API 两 种 访问 方式 ， 均 采用 加 密 
传输 协议 构建 安全 的 传输 通道 ， 有 效 地 降低 数据 在 网 络 传输 过 程 中 被 网 络 嗅 探 的 风险 。 

。 ”数据 元 余 。 华 为 云 数据 存储 采用 多 副本 备份 和 纠 删 码 设计 ， 通 过 元 余 和 校 验 机 制 来 判 
断 数据 的 损坏 并 快速 进行 修复 ， 确 保 即 使 一 定数 量 的 物理 设备 发 生 故 障 也 不 会 影响 业 
务 的 运行 ， 使 华为 云 存 储 服务 的 可 靠 性 达到 业界 先进 水 平 。 例 如 对 象 存储 服务 的 数据 
持久 性 高 达 99. 9999999999% (12 个 9) 。 


6. 开发 安全 


华为 云 通过 完善 的 制度 和 流程 以 及 自动 化 的 平台 和 工具 ， 对 软 硬 件 全 生命 周期 进行 端 到 端 
的 管理 ， 全 生命 周期 包括 安全 设计 、 安 全 编码 和 测试 、 安 全 验收 和 发 布 、 漏 洞 管理 等 环节 ， 具 
体 措施 内 容 曾 述 如 下 。 

1) 安全 设计 

华为 云 及 相关 云 服 务 遵 从 安全 及 隐私 设计 原则 和 规范 、 法 律 法 规 要求 ， 根 据 业 务 场景 、 数 
据 流 图 、 组 网 模型 进行 威胁 分 析 。 威 胁 分 析 首 先 基 于 引导 分 析 威胁 库 、 消 减 库 、 安 全 设计 方案 
库 ， 然 后 给 出 对 应 的 安全 设计 方案 。 所 有 的 威胁 消减 措施 将 转换 为 安全 需求 、 安 全 功能 ， 并 根 
据 公司 的 测试 用 例 库 完成 安全 测试 用 例 的 设计 ， 确 保 落 地 ， 以 保障 产品 、 服 务 的 安全 。 

2) 安全 编码 和 测试 

华为 云 严格 遵从 华为 公司 对 内 发 布 的 多 种 编程 语言 的 安全 编码 规范 。 开 发 人 员 在 上 岗 编码 
前 均 须 通过 对 应 规范 的 学 习 和 考试 。 同 时 使 用 静态 代码 扫描 工具 例 行 检查 ， 其 结果 数据 进入 云 
服务 工具 链 ， 以 评估 编码 的 质量 。 所 有 云 服务 在 发 布 前 ， 均 须 完成 静态 代码 扫描 的 告警 清 零 ， 有 
效 降低 上 线 时 编码 相关 的 安全 问题 。 华 为 云 将 安全 设计 阶段 识别 出 的 安全 需求 、 攻 击 者 视角 的 渗 
透 测试 用 例 、 业 界 标准 等 作为 检查 项 ， 开 发 配套 的 安全 测试 工具 ， 在 云 服 务 发 布 前 进行 多 轮 安全 
测试 ， 确 保 发 布 的 云 服务 满足 安全 要 求 。 

3) 安全 验收 和 发 布 

云 平台 版 本 、 重 要 云 服务 上 线 前 ， 需 要 通过 华为 公司 全 球 网 络 安全 与 用 户 隐私 保护 官 和 首 
席 法 务 官 的 严格 审查 ， 针 对 所 服务 区 域 的 安全 隐私 要 求 的 合 规 性 进行 分 析 、 判 断 ， 确 保 华为 云 
以 及 华为 开发 的 云 服务 满足 各 区 域 法 律 法 规 和 客户 安全 需求 。 
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4) 漏洞 管理 

华为 云 构 建 了 完善 的 漏洞 管理 体系 ， 实 现 漏洞 感知 、 漏 洞 处 置 、 漏 洞 披露 等 全 流程 的 跟踪 
与 管理 ， 确 保 云 平台 各 服务 产品 和 组 件 的 漏洞 得 到 及 时 的 发 现 与 修复 ， 降 低 漏 洞 被 恶意 利用 所 
带 来 的 风险 。 


7. 生态 安全 


华为 云 基于 严 进 宽 用 的 原则 ， 保 障 开源 及 第 三 方 软件 的 安全 引入 和 使 用 。 华 为 云 对 引入 的 
开源 及 第 三 方 软件 制订 了 明确 的 安全 要 求 和 完善 的 流程 控制 方案 ， 在 选 型 分 析 、 安 全 测试 、 代 
码 安全 、 风 险 扫 描 、 法 务 审核 、 软 件 申请 和 软件 退出 等 环节 ， 均 实施 严格 的 管控 。 例 如 在 选 型 
分 析 环 节 ， 增 加 开源 软件 选 型 阶段 的 网 络 安全 评估 要 求 ， 严 管 选 型 。 在 使 用 中 ， 须 将 第 三 方 软 
件 作为 服务 或 解决 方案 的 一 部 分 开展 相应 活动 ， 并 重点 评估 开源 及 第 三 方 软件 和 自 研 软件 的 结 
合 点 ， 或 解决 方案 中 使 用 独立 的 第 三 方 软件 是 否 会 引入 新 的 安全 问题 。 华 为 云 将 网 络 安全 能 
前 置 到 社区 ， 在 出 现 开源 漏洞 问题 时 ， 依 托 华为 云 对 开源 社区 的 影响 力 ， 第 一 时 间 发 现 漏洞 并 
修复 。 漏洞 响 应 时 ， 须 将 开源 及 第 三 方 软件 作为 服务 和 解决 方案 的 一 部 分 开展 测试 ， 验 证 开源 
及 第 三 方 软件 已 知 漏洞 是 否 修复 ， 并 在 服务 的 Release notes 里 体现 开源 及 第 三 方 软件 的 漏洞 修 
复 列 表 。 

8. 隐私 保护 

华为 云 各 服务 产品 的 设计 遵循 《隐私 保护 设计 规范 》， 该 规范 建立 了 隐私 基线 、 维 护 隐私 
的 完整 性 和 指导 隐私 风险 分 析 ， 制 定 对 应 措施 并 作为 需求 落 入 服务 产品 开发 设计 流程 。 

此 外 ， 针 对 云 用 户 的 安全 需求 ， 华 为 云 提供 DDoS 高 防 、Anti-DDoS 流量 清洗 、 数 据 库 安 


全 服务 DBSS、 数 据 加 密 服务 、 企 业主 机 安全 、 容 器 安全 服务 、 安 全 专家 服务 、SSL 证 书 管理 、 
云 堡垒 机 、 漏 洞 扫 描 服 务 、Web 应 用 防火 墙 WAF 等 安全 服务 。 


23.4.4 ”微软 Azure 云 安全 


由 世纪 互联 运营 的 国内 公有 云 平 台 Microsoft Azure， 与 全 球 其 他 地 区 由 微软 运营 的 Azure 
服务 在 物理 上 和 逻辑 上 独立 ， 采 用 微软 服务 于 全 球 的 Azure 技术 ， 为 客户 提供 全 球 一 致 的 服务 
质量 保障 ， 其 主要 网 络 安全 措施 描述 如 下 。 


1. 数据 存储 安全 


所 有 客户 数据 、 处 理 这 些 数据 的 应 用 程序 ， 以 及 承载 世纪 互联 在 线 服务 的 数据 中 心 ， 全 部 
位 于 中 国境 内 。 


2. 业务 连续 性 保障 


位 于 中 国 东部 和 中 国 北部 的 数据 中 心 在 距离 相隔 1000km 以 上 的 地 理 位 置 提供 异地 复制 ， 
为 Azure 服务 提供 了 业务 连续 性 支持 ， 实 现 了 数据 的 可 靠 性 。 
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3. 物理 环境 安全 


所 有 数据 中 心 选取 国内 电信 运营 商 的 项 级 数据 中 心 , 在 绿色 节能 的 基础 上 , 采用 N+1 或 者 
2N 路 不 间断 电源 保护 。 此 外 还 有 大 功率 柴油 发 电机 为 数据 中 心 提供 后 备 电 力 ， 配 有 现场 柴油 
存储 和 就 近 加 油 站 的 供 油 协议 作为 保障 。 

数据 中 心机 房 内 均 设 有 架空 地 板 ， 冷 通道 封闭 ， 与 后 端 制冷 系统 、 冷 机 、 冷 却 塔 和 冰 池 形 
成 高 效 冷却 循环 ， 为 机 房 内 运行 的 服务 器 提供 稳定 适合 的 环境 ， 并 配 有 新 风 系统 ， 可 在 天 气 条 
件 适合 时 最 大 限度 地 降低 数据 中 心 的 PUE 。 


4. 隐私 保护 


客户 全 权 管 理 自己 的 客户 数据 以 及 权限 ， 决 定 客户 数据 的 存储 位 置 。 未 经 批准 任何 人 都 无 
法 使 用 客户 数据 。 不 同 租户 的 客户 数据 在 逻辑 上 进行 了 彻底 的 隔离 ， 客 户 数据 不 会 被 用 于 广告 
宣传 或 者 其 他 商业 目的 。 


5. 合 规 性 


满足 国际 和 行业 特定 标准 ISO/IEC 27001 ， 公 安 部 信息 系统 安全 等 级 保护 评定 第 三 级 备 
案 ， 以 及 多 项 可 信 云 服务 认证 。 


6. 基础 结构 安全 


Azure 采用 一 系列 可 靠 的 安全 技术 和 实践 ， 确 保 Azure 基础 结构 能 够 应 对 攻击 ， 保 护 用 户 
对 Azure 环境 的 访问 ， 并 通过 加 密 通 信 、 威 胁 管理 和 缓解 实践 (包括 定期 渗透 测试 ) 来 帮助 保 
障 客户 数据 的 安全 。 主 要 网 络 安全 技术 措施 如 下 : 
。 ” 密 钥 保管 库 。 保 护 云 应 用 程序 和 服务 使 用 的 加 密 密 钥 及 其 他 密 文 密码 。 
。 ”Azure Active Directory。 集成 本 地 部 署 Azure Active Directory 以 实现 跨 云 应 用 程序 的 单 
一 登录 。 
。 ”应 用 程序 网 关 。 提 供 高 可 用 的 HTTP 负载 均衡 、Web 应 用 程序 防火 墙 等 服务 ， 多 实例 
网 关 可 实现 99.9% 持 续 运 行 时 间 。 
。 VPN 网 关 。 提 供 行业 标准 的 站 点 到 站 点 IPSec VPN， 随 处 进行 站 点 到 站 点 的 VPN 访 
问 。VPN 网 关 提 供 99.9% 运 行 时 间 的 服务 级 别 协议 保证 , 支持 从 任何 位 置 连接 到 Azure 
的 虚拟 网 络 或 虚拟 机 。 


7. 数据 服务 保障 


通过 安全 技术 和 流程 确保 客户 数据 的 机 密 性 、 完 整 性 和 可 用 性 ， 提 供 有 财务 保障 的 最 高 达 
99.99% 的 月 度 服务 级 别 协议 以 及 最 多 6 个 数据 备份 。 
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23.4.5“ 云 计算 隐私 保护 
云 计算 隐私 保护 是 云 计 算 服 务 商 所 面临 的 公共 安全 问题 。 以 下 按照 隐私 保护 责任 主体 ， 整 


理 了 国 


EL 


2. 


3 


内 外 云 计算 隐 私 保护 的 安全 措施 ， 具 体 如 下 。 
云 计 算 服 务 提供 方 的 个 人 隐私 保护 措施 


个 人 信息 备份 保管 。 服 务 器 多 备份 、 密 码 加 密 等 安全 措施 ， 防 止 信息 泄露 、 毁 损 、 丢 失 。 
建立 严格 的 管理 制度 和 流程 以 保障 个 人 信息 安全 。 通 过 严格 限制 访问 信息 的 人 员 范 
围 ， 并 进行 审计 ， 要 求 相关 人 员 遵 守 保密 义务 。 

建立 信息 安全 合 规 机 制 与 开展 安全 认证 。 通 过 国际 和 国内 的 安全 认证 ， 强 化 和 规范 个 
人 信息 安全 保护 ， 如 ISO 27018 公有 云 个 人 信息 保护 认证 、 网 络 安 全 等 级 保护 认证 、 
ISO 27001 信息 安全 管理 体系 认证 等 。 

强化 身份 验证 和 访问 控制 。 在 访问 、 修 改 和 删除 相关 信息 时 ， 要 求 进行 身份 验证 ， 以 
保障 账户 安全 。 基 于 法 律 法 规 要 求 ， 某 些 请 求 可 能 无 法 进行 响应 ， 部 分 信息 可 能 无 法 
访问 、 修 改 和 删除 。 

限制 个 人 信息 存储 地 理 位 置 。 收 集 信息 保存 在 位 于 国内 的 服务 器 。 

个 人 信息 留存 管理 。 仅 提供 服务 期 间 保留 个 人 的 信息 ， 保 留 时 间 不 会 超过 满足 相关 使 
用 目的 所 必需 的 时 间 。 基 于 法 律 法 规 要 求 及 合法 权益 保护 、 社 会 公共 利益 等 原因 可 较 
长 时 间 保 留 个 人 信息 。 


用 户 个 人 隐私 保护 措施 


加 强 用 户 自 我 保护 意识 。 不 随意 向 任何 第 三 人 提供 账号 密码 等 个 人 信息 。 

个 人 信息 收集 符合 性 监督 。 发 现 违反 法 律 法 规 的 规定 或 者 双方 的 约定 收集 、 使 用 个 人 
信息 的 ， 主 动 要 求 服务 方 删除 。 

个 人 信息 更 正 。 发 现 收集 、 存 储 的 个 人 信息 有 错误 的 ， 且 无 法 自行 更 正 的 ， 可 以 要 求 
服务 方 更 正 。 

个 性 化 服务 选择 。 个 人 用 户 可 以 根据 自身 利益 ， 通 过 浏览 器 设置 拒绝 或 管理 Cookies。 


个 人 信息 安全 事件 应 急 响 应 措施 


针对 个 人 信息 安全 事件 ， 制 定 应 急 响应 预案 。 例如， 腾讯 云 将 按照 《国家 网 络 安全 事件 应 
急 预 案 》 等 有 关 规 定 及 时 上 报 ， 并 以 发 送 邮件 、 推 送 通 知 、 公 告 等 形式 告知 云 用 户 相关 情况 ， 
并 向 其 给 出 安全 建议 。 
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23.5 ”本章 小 结 


本 章 首先 介绍 了 云 计算 的 概念 及 相关 安全 威胁 、 安 全 需求 ; 然后 分 析 了 云 计算 的 安全 合 规 
要 求 ， 给 出 了 云 计 算 安全 保护 机 制 和 相关 技术 ; 最 后 ， 以 阿里 云 、 腾 讯 云 、 华 为 云 等 为 案例 ， 
对 云 安 全 措施 实现 进行 简要 分 析 。 


第 24 章 工控 安全 需求 分 析 与 ”国有 
安全 保护 工程 


24.1 工控 系统 安全 威胁 与 需求 分 析 


工业 自动 化 控制 系统 一 般 简称 为 工业 控制 系统 或 工控 系统 ， 其 已 经 被 列 为 网 络 安全 等 级 保 
护 2.0 的 重要 保护 对 象 。 随 着 工业 互联 网 的 推进 ， 工 控 网 络 安全 的 重要 性 日 益 明显 ， 是 工业 生 
产 安全 的 重要 保障 。 

本 节 主 要 内 容 包 括 工业 控制 系统 的 概念 、 工 业 控制 系统 基本 组 成 、 工 业 控 制 系统 安全 威胁 
分 析 、 工 业 控 制 系统 安全 隐患 类 型 、 工 业 控 制 系统 安全 需求 分 析 。 下 面 分 别 进行 阐述 。 
24.1.1 工业 控制 系统 概念 及 组 成 

工业 控制 系统 是 由 各 种 控制 组 件 、 监 测 组 件 、 数 据 处 理 与 展示 组 件 共同 构成 的 对 工业 生产 
过 程 进行 控制 和 监控 的 业务 流程 管控 系统 。 工 业 控制 系统 通常 简称 工控 系统 (ICS) 。 工 控 系 
统 通常 分 为 离散 制造 类 和 过 程控 制 类 两 大 类 ， 控 制 系统 包括 SCADA 系统 、 分 布 式 控制 系统 
(DCS) 、 过 程控 制 系统 (PCS) 、 可 编程 逻辑 控制 器 (PLC) 、 远 程 终端 (RIU) 、 数 控 机 床 
及 数控 系统 等 。 


1.SCADA 系统 


SCADA 是 Supervisory Control And Data Acquisition 的 缩写 ， 中 文 名 称 是 数据 采集 与 监视 
控制 系统 , 其 作用 是 以 计算 机 为 基础 对 远程 分 布 运行 的 设备 进行 监控 , 功能 主要 包括 数据 采集 、 
参数 测量 和 调节 。SCADA 系统 一 般 由 设 在 控制 中 心 的 主 终端 控制 单元 (MITU) 、 通 信 线 路 和 
设备 、 远 程 终端 单位 〈(RIU) 等 组 成 ， 系 统 作 用 主要 是 对 多 层级 、 分 散 的 子 过 程 进 行 数据 采集 
和 统一 调度 管理 ， 如 图 24-1 所 示 。 


2. 分 布 式 控制 系统 (DCS) 


DCS 是 Distribution Control System 的 缩写 。DCS 是 基于 计算 机 技术 对 生产 过 程 进 行 分 布 
控制 、 集 中 管理 的 系统 。DCS 系统 一 般 包括 现场 控制 级 、 系 统 控制 级 和 管理 级 两 /三 个 层次 ， 
现场 控制 级 主要 是 对 单个 子 过 程 进行 控制 ， 系 统 控制 级 主要 是 对 多 个 密切 相关 的 过 程 进行 数据 
采集 、 记 录 、 分 析 和 控制 ， 并 通过 统一 的 人 机 交互 处 理 实现 过 程 的 集中 控制 和 展示 ， 系 统 项 目 
管理 器 实现 组 态 的 配置 和 分 发 ， 并 有 统一 的 对 外 数据 接口 ， 如 图 24-2 所 示 。 
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3. 过 程控 制 系统 (PCS) 


PCS 是 Process Control System 的 缩写 。PCS 是 通过 实时 采集 被 控 设备 状态 参数 进行 调节 ， 
以 保证 被 控 设 备 保持 某 一 特定 状态 的 控制 系统 。 状 态 参数 包括 温度 、 压 力 、 流 量 、 液 位 、 成 分 、 
浓度 等 。PCS 系统 通常 采用 反馈 控制 (闭环 控制 ) 方式 。 
4. 可 编程 逻辑 控制 器 (PLC) 
PLC 是 Programmable Logic Controller 的 缩写 。PLC 主要 执行 各 类 运算 、 顺 序 控制 、 定 时 
等 指令 ， 用 于 控制 工业 生产 装备 的 动作 ， 是 工业 控制 系统 的 基础 单元 ， 如 图 24-3 所 示 。 
历史 数据 站 工程师 站 


图 24-3 PLC 系统 示意 图 


S. 主 终端 设备 (MTU) 

MTU 是 Master Terminal Unit 的 缩写 。MTU 一 般 部 署 在 调度 控制 中 心 ， 主 要 用 于 生产 过 
程 的 信息 收集 和 监测 ， 通 过 网 络 与 RTU 保持 通信 。 

6. 远程 终端 设备 (RTU) 


RTU 是 Remoter Terminal Unit 的 缩写 。RTU 主要 用 于 生产 过 程 的 信息 采集 、 自 动 测 量 记录 
和 传导 ， 通 过 网 络 与 MTU 保持 通信 。 
7. 人 机 界面 HMI) 


HMI 是 Human 一 Machine Interface 的 缩写 。 HMI 是 为 操作 者 和 控制 器 之 间 提 供 操作 界面 和 
数据 通信 的 软 硬 件 平台 。 目 前 工业 控制 系统 主要 采用 计算 机 终端 进行 人 机 交互 工作 。 
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8. 工控 通信 网 络 


工控 通信 网 络 是 各 种 工业 控制 设备 及 组 成 单元 的 连接 器 , 传统 工业 通信 网 络 一 般 采 取 专 用 
的 协议 来 构建 ， 形 成 封闭 网 络 。 常 见 的 工控 专用 协议 有 OPC、 Modbus、DNP3 等 ， 工 业 通信 
网 络 类 型 有 DCS 主 控 网 络 、SCADA 远程 网 络 、 现 场 控制 级 通信 网 络 等 类 型 。 随 着 互联 网 技术 
的 应 用 发 展 ，TCP/IP 协议 也 逐步 应 用 到 工业 控制 系统 ， 如 智能 设备 、 智 能 楼 宇 、 智 能 工厂 等 控 
制 系统 。 
24.1.2 工业 控制 系统 安全 成 胁 分 析 

随 着 信息 化 和 工业 化 融合 的 不 断 深入 , 工业 控制 系统 的 数字 化 、 网 络 化 、 智能 化 日 益 明 显 。 
与 此 同时 , 工业 控制 系统 的 安全 威胁 活动 也 日 趋 频繁 。2010 年 首次 发 现 针对 工控 系统 实施 破坏 
的 恶意 代码 Stuxnet 简称“ 震 网 ”病毒 ) 。“ 震 网 ”病毒 利用 了 微软 操作 系统 至 少 4 个 0-day 
漏洞 ， 攻 击 伊朗 核电 站 西门 子 公 司 的 SIMATIC WinCC 系统 ， 其 主要 目的 是 掩盖 发 生 故 障 的 情 
况 以 造成 管理 部 门 决策 误 判 ， 使 伊朗 核电 站 的 离心 机 运行 失控 。 根 据 已 发 生 的 典型 事件 看 ， 工 
控 系统 的 安全 威胁 主要 来 自 五 个 方面 。 

1. 自然 灾害 及 环境 


洪水 、 雷 电 、 台 风 等 是 工业 控制 系统 常见 的 自然 灾害 威胁 ， 特 别 是 分 布 在 室外 的 工业 控制 
设备 。 
2. 内 部 安全 威胁 


3. 设备 功能 安全 故障 


工业 控制 设备 的 质量 不 合格 , 导致 设备 功能 无 法 正常 执行 ， 从 而 产生 故障 , 例如 磁盘 故障 、 
服务 器 硬件 故障 。 
4. 恶意 代码 


随 着 工业 控制 网 络 的 开放 性 增加 ， 恶 意 代 码 成 为 工业 控制 系统 面临 的 安全 挑战 难题 ， 常 见 
的 恶意 代码 有 网 络 蠕虫 、 特 洛 伊 木马 、 勒 索 软 件 等 。 根 据 研究 ， 针 对 PLC 攻击 的 网 络 蠕虫 已 经 
出 现 ， 简 称 PLC Worm。 


S. 网 络 攻 击 


由 于 工业 控制 系统 的 高 价值 性 ， 常 常 是 网 络 攻击 者 重要 的 目标 对 象 。 例如， 网 络 安全 威胁 
组 织 Dragonfly 针对 电力 运营 商 、 主 要 发 电 企业 、 石 油管 道 运 营 商 和 能 源 工业 设备 供 货 商 进行 
网 络 间谍 活动 。 
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24.1.3 ”工业 控制 系统 安全 隐患 类 型 


工业 控制 系统 是 由 传统 IT 技术 及 控制 技术 综合 形成 的 复杂 系统 ， 除 了 传统 IT 系统 的 安全 
隐患 外 ， 工 业 控 制 系统 还 具有 其 特定 的 安全 隐患 ， 主 要 安全 隐患 分 析 如 下 。 


1. 工控 协议 安全 


工控 协议 设计 之 初 ， 缺 乏 安全 设计 ， 无 安全 认证 、 加 密 、 审 计 。 例如 ， 仅 需要 使 用 一 个 
合法 的 Modbus 地 址 和 合法 的 功能 码 即 可 建立 一 个 Modbus 会 话 。 工 控 通 信和 明文 传递 信息 ， 数 
据 传输 缺乏 加 密 措 施 ， 地 址 和 命令 明文 传输 ， 可 以 很 容易 地 捕获 和 解析 。 


2. 工控 系统 技术 产品 安全 漏洞 


PLC、SCADA 、HMI、DCS 等 相关 工控 技术 产品 存在 安全 漏洞 。 西 门 子 、 施 耐 德 、 研 华 、 
罗 克 韦 尔 、 欧 姆 龙 等 产品 相继 报告 存在 安全 漏洞 。 


3. 工控 系统 基础 软件 安全 漏洞 

工控 系统 通用 操作 系统 、 嵌 入 式 操作 系统 、 实 时 数据 库 等 存在 安全 漏洞 。 

4. 工控 系统 算法 安全 漏洞 

工控 系统 控制 算法 存在 安全 缺陷 。 例 如 状态 估计 算法 缺失 容忍 攻击 保护 ， 从 而 导致 状态 估 
计 不 准确 。 

5. 工控 系统 设备 固件 漏洞 

工控 系统 设备 固件 存在 安全 缺陷 ， 例 如 BIOS 漏洞 。 

6. 工控 系统 设备 硬件 漏洞 

工控 系统 设备 硬件 存在 安全 缺陷 ， 例 如 CPU 漏洞 。 

7. 工控 系统 开放 接 入 漏洞 


传统 工控 系统 在 无 物理 安全 隔离 措施 的 情况 下 接 入 互联 网 ， 工 控 设 备 暴露 在 公共 的 网 络 
中 ， 从 而 带 来 新 的 安全 问题 。 如 DDoS/DoS 拒绝 服务 攻击 、 漏 洞 扫描 、 敏 感 信息 泄露 、 恶 意 代 
码 网 上 传播 等 。 互 联网 上 有 专用 的 工控 设备 扫描 平台 Shodan， 可 以 实时 发 现在 线 的 工控 设备 及 
漏洞 信息 ， 如 图 24-4 所 示 。 
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图 24-4 ”Shodan 界面 示意 图 


8. 工控 系统 供应 链 安 全 


工控 系统 依赖 多 个 厂商 提供 设备 和 后 续 服务 保障 ,供应 链 安全 直接 影响 工控 系统 的 安全 稳 
定 运 行 。 一 旦 某 个 关键 设备 或 组 件 无 法 提供 服务 支撑 ， 工 控 系 统 就 很 有 可 能 中 断 运行 。 


24.1.4 工业 控制 系统 安全 需求 分 析 


工业 控制 系统 的 安全 除了 传统 IT 的 安全 外 ， 还 涉及 控制 设备 及 操作 安全 。 传 统 IT 网 络 信 


息 安全 要 求 侧 重 于 “保密 性 可 用 性 ”需求 顺序 ， 而 工控 系统 网 络 信息 安全 偏重 
于 “可 用 性 一 一 完整 性 求 顺序 。 由 于 工业 控制 系统 安全 事 关 生产 安全 、 经 济 发 
定 和 国家 安全 ， 因 此 必须 重点 加 强 保护 ， 国 家 网 络 安全 等 级 保护 2.0 标准 已 将 工控 
等 级 保护 对 象 。 工 控 系 统 的 网 络 信息 安全 主要 有 技术 安全 要 求 和 管理 安全 要 求 两 方 
面 。 其 中 ， 技 术 安全 要 求 主要 包含 安全 物理 环境 、 安 全 通信 网 络 、 安 全 区 域 边界 、 安 全 计算 环 
境 、 安 全 管理 中 心 ， 管理 安全 要 求 主要 包含 安全 管理 制度 、 安 全 管理 机 构 、 安 全 管理 人 员 、 安 
全 建设 管理 、 安 全 运 维 管理 。 详 细 内 容 可 以 参看 《信息 安全 技术 网 络 安全 等 级 保护 基本 要 求 》 
(GB/T 22239 一 2019) 、《 信 息 安全 技术 网 络 安全 等 级 保护 基本 要 求 第 5 部 分 : 工业 控制 系 
统 安全 扩展 要 求 》 (GA/T 1390.5 一 2017) 、《 工 业 控 制 系统 信息 安全 防护 指南 》 工业 和 信息 
化 部 印发 ) 。 

工控 系统 的 安全 保护 需求 不 同 于 普通 IT 系统 ， 要 根据 工控 业务 的 重要 性 和 生产 安全 ， 划 
分 安全 区 域 、 确 定安 全 防护 等 级 ， 然 后 持续 提升 工控 设备 、 工 控 网 络 和 工控 数据 的 安全 保护 能 
力 。 工 控 相 关 安 全 措施 必须 符合 国家 法 律 政策 及 行业 主管 的 安全 管理 要 求 ， 满 足 国家 工控 安全 
标准 规范 或 国际 工控 安全 标准 规范 。 其 中 ， 知 名 的 工控 安全 国际 标准 为 IEC 62443 系列 标准 ， 
共有 以 下 12 个 文档 : 

。 IEC 62443-1-1《 术 语 、 概 念 和 模型 》; 

。 IEC 62443-1-2《 术 语 和 缩 略 语 》; 
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。 IEC 62443-1-3 《系统 信息 安全 符合 性 度量 》; 

。 ”IEC 62443-2-1《 建 立 工 业 自动 化 控制 系统 信息 安全 程序 》; 

。 ”IEC 62443-2-2《 运 行 工业 自动 化 控制 系统 信息 安全 程序 》; 

。 IEC 62443-2-3《 工 业 自 动 化 控制 系统 环境 中 的 补丁 更 新 管理 》; 

。 ”IEC 62443-2-4《 对 工业 自动 化 控制 系统 制造 商 信息 安 全 政策 与 实践 的 认证 》; 
。 IEC 62443-3-1《 工 业 自 动 化 控制 系统 信息 安全 技术 》; 

。 ”IEC 62443-3-2《 区 域 和 通道 的 信息 安全 保障 等 级 》; 

。 IEC 62443-3-3《 系 统 信息 安全 要 求 和 信息 安全 保障 等 级 》; 

。 ”IEC 62443-4-1《 产 品 开发 要 求 》; 

。 IEC 62443-4-2《 对 工业 自动 化 控制 系统 产品 的 信息 安全 技术 要 求 》。 


24.2 工控 系统 安全 保护 机 制 与 技术 


本 节 介 绍 工 业 控 制 系统 安全 保护 机 制 ， 主 要 包括 物理 及 环境 安全 防护 、 安 全 分 区 及 边界 保 
护 、 身 份 认证 与 访问 控制 、 远 程 访 问安 全 、 恶 意 代码 防范 、 数 据 安 全 、 网 络 安全 监测 与 应 急 响 
应 、 安 全 管理 等 。 同 时 ， 给 出 了 工业 控制 系统 安全 产品 技术 。 


24.2.1 物理 及 环境 安全 防护 


物理 及 环境 安全 是 工控 系统 的 安全 基础 。 为 保护 工业 控制 系统 的 物理 及 环境 安全 ，《 工 业 
控制 系统 信息 安全 防护 指南 》 要 求 如 下 : 
。 ”对 重要 工程 师 站 、 数 据 库 、 服 务 器 等 核心 工业 控制 软 硬 件 所 在 区 域 采取 访问 控制 、 视 
频 监控 、 专 人 值守 等 物理 安全 防护 措施 。 
。 ”拆除 或 封闭 工业 主机 上 不 必要 的 USB、 光 驱 、 无 线 等 接口 。 若 确 需 使 用 ， 通 过 主机 外 
设 安全 管理 技术 手段 实施 严格 访问 控制 。 


24.2.2 ”安全 边界 保护 


为 确保 有 安全 风险 的 区 域 隔离 及 安全 控制 管理 , 工业 企业 应 将 工业 控制 系统 划分 为 若干 安 
全 域 。 一 般 来 说 ， 工 业 控 制 系统 的 开发 、 测 试 和 生产 应 分 别提 供 独立 环境 ， 避 免 把 开发 、 测 试 
环境 中 的 安全 风险 引入 生产 系统 。 

工业 企业 针对 不 同 的 安全 域 实 现 安全 隔离 及 防护 。 其 中 ， 安 全 隔离 类 型 分 为 物理 隔离 、 网 
络 逻辑 隔离 等 方式 。 常 见 的 工业 控制 边界 安全 防护 设备 包括 工业 防火 墙 、 工 业 网 阅 、 单 向 隔离 
设备 及 企业 定制 的 边界 安全 防护 网 关 等 。 工 业 企业 按照 实际 情况 ， 在 不 同安 全 区 域 边界 之 间 部 
署 边界 安全 防护 设备 ， 实 现 安全 访问 控制 ， 阻 断 非 法 网 络 访问 。 

如 图 24-5 所 示 ， 工 控 防 火 墙 将 运营 管理 层 与 监督 控制 层 进行 安全 逻辑 隔离 。 


第 24 章 ， 工 控 安全 需求 分 析 与 安全 保护 I 程 “ 国 533 荐 


数据 服务 器 Web 服 务 器 应 用 服务 器 调度 管理 设备 管理 生产 管理 


各 
控 
防 
火 
墙 


图 24-5 运营 管理 层 网 络 与 监督 控制 层 网 络 之 间 安 全 隔离 示意 图 


24.2.3 “身份 认证 与 访问 控制 


身份 认证 与 访问 控制 是 工业 控制 系统 的 安全 基础 。 目前, 常见 的 认证 技术 手段 有 口令 密码 、 
USB-Key、 智 能 卡 、 人 脸 、 指 纹 、 虹 膜 等 。 为 防范 口令 撞 库 攻 击 及 敏感 认证 信息 泄露 影响 ， 
不 同系 统 和 网 络 环境 下 禁止 使 用 相同 的 身份 认证 证 书信 息 ， 减 小 身份 信息 暴露 后 对 系统 和 网 
络 的 影响 。 对 于 工业 控制 设备 、SCADA 软件 、 工 业 通 信 设 备 等 设 定 不 同 强度 的 登录 账户 及 密 
码 ， 并 进行 定期 更 新 ， 避 免 使 用 默认 口令 或 弱 口令 。 针 对 内 部 威胁 ， 工 业 企业 的 安全 权限 管 
理应 遵循 最 小 特权 原则 ， 对 工业 控制 系统 中 的 系统 账户 权限 分 配 最 小 化 ， 避 免 权 限 过 多 ， 防 
止 特 权 滥 用 。 

《工业 控制 系统 信息 安全 防护 指南 》 对 身份 认证 提出 要 求 ， 具 体内 容 如 下 : 

(1) 在 工业 主机 登录 、 应 用 服务 资源 访问 、 工 业 云 平台 访问 等 过 程 中 使 用 身份 认证 管理 。 
对 于 关键 设备 、 系 统 和 平台 的 访问 采用 多 因素 认证 。 

(2) 合理 分 类 设置 账户 权限 ， 以 最 小 特权 原则 分 配 账户 权限 。 

(3) 强化 工业 控制 设备 、SCADA 软件 、 工 业 通 信 设 备 等 的 登录 账户 及 密码 ， 避 免 使 用 默 
认 口 令 或 弱 口 令 ， 定 期 更 新 口令 。 

(4) 加 强 对 身份 认证 证 书信 息 的 保护 力度 ， 禁 止 在 不 同系 统 和 网 络 环境 下 共享 。 


24.2.4 ”远程 访问 安全 


远程 访问 为 工业 企业 的 管理 及 维护 提供 方便 ,但 与 此 同时 也 引入 网 络 安全 问题 ， 威胁 者 可 
以 利用 远程 访问 的 安全 缺陷 入 侵 工 控 系 统 。《 工 业 控 制 系统 信息 安全 防护 指南 》 要 求 如 下 : 


原则 上 严格 禁止 工业 控制 系统 面向 互联 网 开通 HTTP、FTP、Telnet 等 高 风险 通用 网 络 
服务 。 
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。 ” 确 需 远程 访问 的 , 采用 数据 单 向 访问 控制 等 策略 进行 安全 加 固 , 对 访问 时 限 进行 控制 ， 
并 采用 加 标 锁定 策略 。 

。 确 需 远程 维护 的 ， 采 用 虚拟 专用 网 络 〈VPN) 等 远程 接 入 方式 进行 。 

。 保留 工业 控制 系统 的 相关 访问 日 志 ， 并 对 操作 过 程 进行 安全 审计 。 


24.2.5 工控 系统 安全 加 固 


工控 系统 安全 加 固 通 过 安全 配置 策略 、 身 份 认证 增强 、 强 制 访问 控制 、 程 序 白 名 单 控制 等 多 
种 技术 措施 ， 对 工程 师 站 、SCADA 服务 器 、 实 时 数据 库 等 工控 组 件 进 行 安全 增强 保护 ， 减 少 系 
统 攻 击 面 。 例 如 ， 车 工业 控制 系统 面向 互联 网 提供 HTTP、FTP、Telnet 等 网 络 服务 ， 易 导致 工 
业 控 制 系统 被 入 侵 、 攻 击 、 利 用 。 为 增强 工控 系统 的 安全 性 ， 原 则 上 应 禁止 工业 控制 系统 开启 高 
风险 通用 网 络 服务 Telnet、FTP、TFTP、HTTP 等 ， 以 减少 工业 控制 系统 的 网 络 攻击 途径 。 


24.2.6 工控 安全 审计 


工业 企业 部 署 安全 审计 设备 ， 如 图 24-6 所 示 。 通 过 审计 系统 保留 工业 控制 系统 设备 、 应 
用 等 访问 日 志 ， 并 定期 进行 备份 ， 通 过 审计 人 员 账 户 、 访 问 时 间 、 操 作 内 容 等 日 志 信息 ， 追 踪 
定位 非 授权 访问 行为 。 


24-6 工控 安全 审计 示意 图 


24.2.7 ”恶意 代码 防范 


恶意 代码 对 工业 控制 系统 的 安全 构成 极 大 威胁 ， 如 震 网 病毒 、 火 焰 病 毒 。《 工 业 控制 系统 
信息 安全 防护 指南 》 对 恶意 代码 防范 的 相关 安全 要 求 如 下 : 

(1) 在 工业 主机 上 采用 经 过 离线 环境 中 充分 验证 测试 的 防 病毒 软件 或 应 用 程序 白 名 单 软 
件 ， 只 允许 经 过 工业 企业 自身 授权 和 安全 评估 的 软件 运行 。 
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(2) 工业 企业 需要 建立 工业 控制 系统 防 病毒 和 恶意 软件 入 侵 管理 机 制 ， 对 工业 控制 系统 及 
临时 接 入 的 设备 采用 必要 的 安全 预防 措施 。 安 全 预防 措施 包括 定期 扫描 病毒 和 恶意 软件 、 定 期 
更 新 病毒 库 、 查 杀 临 时 接 入 设备 〈 如 临时 接 入 U 盘 、 移 动 终端 等 外 设 ) 等 。 

(3) 密切 关注 重大 工控 安全 漏洞 及 其 补丁 发 布 ， 及 时 采取 补丁 升级 措施 。 在 补丁 安装 前 ， 
需 对 补丁 进行 严格 的 安全 评估 和 测试 验证 。 


24.2.8 工控 数据 安全 


工业 生产 数据 是 工业 企业 的 核心 资源 ， 常 见 的 工业 数据 类 型 有 研发 数据 研发 设计 数据 、 
开发 测试 数据 等 ) 、 生 产 数据 (控制 信息 、 工 况 状 态 、 工 艺 参数 、 系 统 日 志 等 ) 、 运 维 数据 ( 物 
流 数据 、 产 品 售后 服务 数据 等 ) 、 管 理 数据 (系统 设备 资产 信息 、 客 户 与 产品 信息 、 产 品 供应 
链 数 据 、 业 务 统计 数据 等 ) 、 外 部 数据 与 其 他 主体 共享 的 数据 等 ) 。 工 业 生产 数据 的 安全 目 
标 是 保障 数据 全 生命 周期 的 可 用 性 、 完 整 性 、 保 密 性 和 时 效 性 ， 防 止 遭 受 未 授权 泄露 、 修 改 、 
移动 、 销 毁 ， 特 别 是 防止 实时 数据 延缓 滞后 。 

为 保护 好 工业 生产 数据 ， 国 家 工业 和 信息 化 部 颁发 《工业 数据 分 类 分 级 指南 (试行 ) 》 和 
《工业 控制 系统 信息 安全 防护 指南 》。 针 对 数据 安全 ， 指 南 要求 对 数据 进行 分 类 分 级 管理 ， 具 
体 防护 措施 相关 要 求 如 下 : 

(1) 对 静态 存储 和 动态 传输 过 程 中 的 重要 工业 数据 进行 保护 ， 根 据 风险 评估 结果 对 数据 信 
息 进 行 分 级 分 类 管理 。 工 业 企业 应 对 静态 存储 的 重要 工业 数据 进行 加 密 存 储 ， 设 置 访问 控制 功 
能 ， 对 动态 传输 的 重要 工业 数据 进行 加 密 传输 ， 使 用 VPN 等 方式 进行 隔离 保护 ， 并 根据 风险 
评估 结果 ， 建 立 和 完善 数据 信息 的 分 级 分 类 管理 制度 。 

(2) 定期 备份 关键 业务 数据 。 工 业 企业 应 对 关键 业务 数据 ， 如 工艺 参数 、 配 置 文件 、 设 备 
运行 数据 、 生 产 数据 、 控 制 指令 等 进行 定期 备份 。 

(3) 对 测试 数据 进行 保护 。 工 业 企业 应 对 测试 数据 ， 包 括 安全 评估 数据 、 现 场 组 态 开发 数 
据 、 系 统 联 调 数 据 、 现 场 变 更 测试 数据 、 应 急 演练 数据 等 进行 保护 ， 如 签订 保密 协议 、 回 收 测 
试 数据 等 。 


24.2.9 工控 安全 监测 与 应 急 响 应 


网 络 安全 监测 与 应 急 响应 是 工业 控制 系统 的 安全 措施 。 在 工业 控制 网 络 中 部 署 网 络 安全 监 
测 设备 ， 可 以 及 时 发 现 网 络 攻 击 行为 ， 如 病毒 、 木 马 、 端 口 扫 描 、 暴 力 破解 、 异 常 流量 、 异 常 
指令 、 伪 造 工控 协议 包 等 ， 对 网 络 攻 击 和 异常 行为 进行 识别 、 报 警 、 记 录 。 同 时 ， 针 对 工业 控 
制 潜在 的 安全 事件 ， 制 定 工控 安全 事件 应 急 响 应 预案 ， 预 案 应 包括 应 急 计 划 的 策略 和 规程 、 应 
急 计 划 培 训 、 应 急 计 划 测 试 与 演练 、 应 急 处 理 流程 、 事 件 监控 措施 、 应 急事 件 报告 流程 、 应 急 
支持 资源 、 应 急 响应 计划 等 内 容 。 目 前 ，《 工 业 控 制 系统 信息 安全 防护 指南 》 针 对 网 络 安全 监 
测 与 应 急 响 应 的 相关 要 求 如 下 

(1) 在 工业 控制 网 络 部 署 网 络 安全 监测 设备 ,及 时 发 现 、 报 告 并 处 理 网 络 攻击 或 异常 行为 。 

(2) 在 重要 工业 控制 设备 前 端 部 署 具 备 工 业 协 议 深度 包 检测 功能 的 防护 设备 ， 限 制 违法 操作 。 
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(3) 制订 工控 安全 事件 应 急 响 应 预案 ， 当 遭受 安全 威胁 导致 工业 控制 系统 出 现 异 常 或 故障 
时 ， 应 立即 采取 紧急 防护 措施 ， 防 止 事态 扩大 ， 并 逐 级 报 送 直至 属地 省 级 工业 和 信息 化 主管 部 
门 ， 同 时 注意 保护 现场 ， 以 便 进 行 调查 取证 。 

(4) 定期 对 工业 控制 系统 的 应 急 响应 预案 进行 演练 ， 必 要 时 对 应 急 响 应 预案 进行 修订 。 

(5) 对 关键 主机 设备 、 网 络 设备 、 控 制 组 件 等 进行 元 余 配置 。 

为 指导 做 好 工业 控制 系统 信息 安全 事件 应 急 管理 相关 工作 ， 保 障 工业 控制 系统 信息 安全 ， 
2017 年 工业 和 信息 化 部 发 布 了 《工业 控制 系统 信息 安全 事件 应 急 管理 工作 指南 》 。 


24.2.10 工控 安全 管理 


网 络 安全 管理 是 工业 控制 系统 的 必要 安全 措施 , 技术 安全 实施 依赖 于 安全 管理 到 位 。 目前 ， 
国家 《工业 控制 系统 信息 安全 防护 指南 》 针 对 安全 管理 的 相关 要 求 包括 资产 管理 、 安 全 软件 选 
择 与 管理 、 配 置 和 补丁 管理 、 供 应 链 管理 等 ， 其 具体 要 求 如 下 

(1) 建设 工业 控制 系统 资产 清单 ， 明 确 资 产 责任 人 ， 以 及 资产 使 用 及 处 置 规则 。 工 业 企 业 
应 建设 工业 控制 系统 资产 清单 ， 包 括 信息 资产 、 软 件 资产 、 硬 件 资产 等 。 明 确 资产 责任 人 ， 建 
立 资产 使 用 及 处 置 规则 , 定期 对 资产 进行 安全 巡 检 ,审计 资产 使 用 记录 ,并 检查 资产 运行 状态 ， 
及 时 发 现 风险 。 

(2) 对 关键 主机 设备 、 网 络 设备 、 控 制 组 件 等 进行 元 余 配置 。 工 业 企业 应 根据 业务 需要 
针对 关键 主机 设备 、 网 络 设备 、 控 制 组 件 等 配置 元 余 电源 、 元 余 设 备 、 元 余 网 络 等 。 

(3) 安全 软件 选择 与 管理 。 一 是 在 工业 主机 上 采用 经 过 离线 环境 中 充分 验证 测试 的 防 病毒 
软件 或 应 用 程序 白 名 单 软件 ， 只 允许 经 过 工业 企业 自身 授权 和 安全 评估 的 软件 运行 。 其 中 ， 离 
线 环境 指 的 是 与 生产 环境 物理 隔离 的 环境 。 验 证 和 测试 内 容 包括 安全 软件 的 功能 性 、 兼 容 性 及 
安全 性 等 。 二 是 建立 防 病毒 和 恶意 软件 入 侵 管理 机 制 ， 对 工业 控制 系统 及 临时 接 入 的 设备 采取 
病毒 查 杀 等 安全 预防 措施 。 

(4) 配置 和 补丁 管理 。 一 是 做 好 工业 控制 网 络 、 工 业主 机 和 工业 控制 设备 的 安全 配置 ， 建 
立 工业 控制 系统 配置 清单 ， 定 期 进行 配置 审计 。 配 置 清单 主要 包括 虚拟 局 域 网 隔离 、 端 口 禁用 
等 工业 控制 网 络 安全 配置 ， 远 程控 制 管理 、 默 认 账户 管理 等 工业 主机 安全 配置 ， 口 令 策略 合 规 
性 等 工业 控制 设备 安全 配置 。 二 是 对 重大 配置 变更 制定 变更 计划 并 进行 影响 分 析 ， 配 置 变更 实 
施 前 进行 严格 安全 测试 。 其 中 , 重大 配置 变更 是 指 重大 漏洞 补丁 更 新 、 安 全 设备 的 新 增 或 减少 、 
安全 域 的 重新 划分 等 。 同 时 ， 应 对 变更 过 程 中 可 能 出 现 的 风险 进行 分 析 ， 形 成 分 析 报 告 ， 并 在 
离线 环境 中 对 配置 变更 进行 安全 性 验证 。 三 是 密切 关注 重大 工控 安全 漏洞 及 其 补丁 发 布 ， 及 时 
采取 补丁 升级 措施 。 在 补丁 安装 前 ， 需 对 补丁 进行 严格 的 安全 评估 和 测试 验证 。 工 业 企业 应 密 
切 关 注 CNVD、CNNVD 等 漏洞 库 及 设备 厂商 发 布 的 补丁 。 当 重大 漏洞 及 其 补丁 发 布 时 ， 根 据 
企业 自身 情况 及 变更 计划 ， 在 离线 环境 中 对 补丁 进行 严格 的 安全 评估 和 测试 验证 ， 对 通过 安全 
评估 和 测试 验证 的 补丁 及 时 升级 。 

(5) 供应 链 管理 。 一 是 选择 工业 控制 系统 规划 、 设 计 、 建 设 、 运 维 或 评估 等 服务 商 时 ， 优 
先 考虑 具备 工控 安全 防护 经 验 的 企 事业 单位 ， 以 合同 等 方式 明确 服务 商 应 承担 的 信息 安全 责任 
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和 义务 。 二 是 以 保密 协议 的 方式 要 求 服务 商 做 好 保密 工作 ， 防 范 敏 感 信息 外 泄 。 保 密 协议 中 应 
约定 保密 内 容 、 保 密 时 限 、 违 约 责任 等 内 容 ， 防 范 工 艺 参数 、 配 置 文件 、 设 备 运行 数据 、 生 产 
数据 、 控 制 指令 等 敏感 信息 外 泄 。 

(6) 落实 责任 。 通 过 建立 工控 安全 管理 机 制 、 成 立信 息 安全 协调 小 组 等 方式 ， 明 确 工控 安 
全 管理 责任 人 ， 落 实 工控 安全 责任 制 ， 部 署 工控 安全 防护 措施 。 工 业 企业 应 建立 健全 工控 安全 
管理 机 制 ， 明 确 工 控 安 全 主体 责任 ， 成 立 由 企业 负责 人 牵头 的 ， 由 信息 化 、 生 产 管理 、 设 备 管 
理 等 相关 部 门 组 成 的 工业 控制 系统 信息 安全 协调 小 组 ， 负 责 工业 控制 系统 全 生命 周期 的 安全 防 
护 体系 建设 和 管理 ， 制 定 工业 控制 系统 安全 管理 制度 ， 部 署 工 控 安全 防护 措施 。 


24.2.11 工控 安全 典型 产品 技术 


工业 控制 系统 的 安全 产品 技术 除了 传统 的 IT 安全 产品 技术 外 ， 相 关 安 全 厂商 也 根据 工业 
控制 系统 环境 的 特殊 要 求 ， 研 发 了 相关 工控 安全 产品 技术 ， 主 要 有 防护 类 型 、 物 理 隔 离 类 型 、 
检查 类 型 、 审 计 与 监测 类 型 、 运 维和 风险 管控 类 型 等 。 


1. 防护 类 型 


工控 系统 防护 类 型 技术 产品 较 多 ， 典 型 技术 产品 有 工控 防火 墙 、 工 控 加 密 、 工 控 用 户 身份 
认证 、 工 控 可 信 计 算 、 系 统 安全 加 固 等 。 其 中 ， 工 控 防 火 墙 区 别 于 传统 防火 墙 ， 工 控 防 火 墙 对 
进入 工业 控制 系统 中 的 网 络 数据 包 进 行 深度 分 析 ， 可 以 解读 工控 协议 数据 包 内 容 ， 从 而 可 以 在 
网 络 上 实现 对 一、 工控 协议 功能 码 、 操 作 行为 等 的 访问 控制 ; 工控 加 密 有 VPN、 加 密 机 、 数 据 
加 密 工 具 等 ;工控 用 户 身份 认证 有 传统 的 口令 认证 、 双 因素 认证 以 及 基于 人 脸 、 指 纹 、 虹 膜 的 
生物 认证 等 产品 技术 ， 工 控 可 信 计 算 采 取 密 码 、 硬 件 安全 等 技术 ， 提 供 可 信 的 工控 计算 环境 和 
网 络 通信 ， 保 护 工控 主机 安全 可 信 ， 工 控 设 备 网 络 连接 可 信 ; 系统 安全 加 固 针对 工控 主机 和 终 
端 设备 的 安全 不 足 ， 采 取 身 份 增强 认证 、 强 制 访 问 控制 、 应 用 程序 白 名 单 、 安 全 配置 、 恶 意 代 
码 防 护 等 综合 技术 ， 保 护 工控 主机 安全 。 


2. 物理 隔离 类 型 


针对 工控 系统 的 不 同安 全 区 域 ， 为 实现 更 强 的 安全 保护 ， 通 过 物理 隔离 技术 防止 不 同安 全 
域 的 非 安 全 通信 。 常 见 技术 产品 有 网 阅 、 正 反 向 隔离 装置 等 。 


3. 审计 与 监测 类 型 


工控 安全 审计 与 监测 类 型 产品 技术 用 于 掌握 工控 系统 的 安全 状态 , 主要 产品 有 工控 安全 审 
计 和 工控 入 侵 检测 系统 。 其 中 ， 工 控 安 全 审计 产品 技术 通过 采集 、 存 储 工 控 系 统 日 志 信息 ， 分 
析 系 统 异常 事件 ， 对 于 出 现 的 违背 安全 策略 的 操作 进行 告警 ， 并 提供 安全 事件 发 生 场景 还 原 及 
电子 取证 服务 ， 工 控 入 侵 检测 系统 (IDS) 通过 对 工控 系统 数据 包 的 深度 解析 或 系统 日 志 关联 
分 析 ， 利 用 基于 特征 或 异常 检测 来 发 现 攻击 工控 系统 的 行为 ， 实 现 工控 安全 威胁 监测 。 
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4. 检查 类 型 


工控 安全 检查 类 型 产品 技术 主要 有 工控 漏洞 扫描 、 工 控 漏洞 挖掘 、 工 控 安全 基线 检查 等 。 
其 中 ， 工 控 漏 洞 扫描 主要 针对 工控 系统 设备 、 操 作 系统 、 工 控 软 件 等 进行 安全 漏洞 检查 ， 以 发 
现 安全 漏洞 。 工 控 漏洞 挖掘 则 利用 协议 分 析 、 软 件 逆向 分 析 、 模 糊 安全 测试 等 技术 手段 ， 实 现 
对 工控 系统 安全 漏洞 的 发 现 。 工 控 安全 基线 检查 则 根据 工控 安全 策略 、 工 控 安 全 标准 规范 、 工 
控 安 全 最 佳 实践 等 要 求 ， 对 工控 系统 的 安全 进行 合 规 检查 。 


S. 运 维 和 风险 管控 类 型 


工控 运 维和 风险 管控 类 型 产品 技术 主要 有 工控 堡垒 机 、 工 控 风险 管理 系统 等 。 其 中 ， 工 控 
煲 垒 机 可 以 用 于 集中 管理 工控 设备 的 运行 维护 和 运 维 过 程 审计 ， 减 少 安全 隐患 工控 风险 管理 
系统 则 用 于 管理 工控 系统 的 资产 、 安 全 威胁 、 安 全 漏洞 及 潜在 安全 影响 。 


24.3 工控 系统 安全 综合 应 用 案例 分 析 


本 节 给 出 电力 、 水 厂 、 厂 商 等 工控 系统 安全 实施 参考 案例 。 
24.3.1 电力 监控 系统 安全 总 体 方案 


本 案例 来 自 国家 工业 控制 系统 信息 安全 相关 标准 和 管理 政策 文件 。 工 业 控 制 系统 在 电力 行 
业 应 用 广泛 ， 其 安全 性 十 分 重要 。 国 家 相关 部 门 颁布 一 系列 安全 管理 规定 ， 如 《电力 监控 系统 
安全 防护 规定 》 (国家 发 改 委 令 第 14 号 ) 、《 电 力行 业 信息 系统 安全 等 级 保护 基本 要 求 》 ( 电 
监 信息 (2012) 62 号 ) 、《 电 力行 业 网 络 与 信息 安全 管理 办 法 》 《〈 国 能 安全 (2014) 317 号 ) 、 
《电力 行业 信息 安全 等 级 保护 管理 办 法 》 “【〔 国 能 安全 (2014) 318 号 ) 。 电 力 监控 系统 的 安全 
策略 是 “安全 分 区 、 网 络 专用 、 横 向 隔离 、 纵 向 认证 ”， 如 图 24-7 所 示 。 


1. 安全 分 区 


电力 监控 系统 的 安全 区 域 主要 分 成 生产 控制 大 区 和 管理 信息 大 区 。 其 中 ， 生 产 控制 大 区 又 
细 分 为 控制 区 和 非 控 制 区 ， 管 理 信息 大 区 分 为 若干 业务 安全 区 。 控 制 区 与 非 控制 区 之 间 应 采用 
逻辑 隔离 措施 ， 实 现 两 个 区 域 的 逻辑 隔离 、 报 文 过 滤 、 访 问 控制 等 功能 ， 其 访问 控制 规则 应 当 
正确 有 效 。 生 产 控制 大 区 应 当选 用 安全 可 靠 的 硬件 防火 墙 ， 其 功能 、 性 能 、 电 磁 兼 容 性 必须 经 
过 国家 相关 部 门 的 检测 认证 。 

2. 网 络 专用 


电力 监控 系统 的 调度 控制 网 络 采用 专用 网 络 ， 以 满足 电力 控制 实时 性 及 高 可 信 要 求 。 
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生产 控制 大 区 管理 信息 大 区 
| 一 ”一 
控制 区 | 逻辑 | | 非 控 制 区 根据 需要 设立 副 
(安全 区 工 ) 隔离 (安全 区 I ) 若干 业务 安全 区 
不 [EE 


FE 本 


< 实时 子 网 | 非 实 时 了 网 > 电力 企业 数据 网 全 
电力 调度 数据 网 办 
人 3 网 
| 一 一 + 
根据 需要 设立 
若干 业务 安全 区 
FQ 
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图 24-7 电力 监控 系统 安全 防护 示意 图 


3. 横向 隔离 


横向 隔离 是 电力 二 次 安全 防护 体系 的 横向 防线 。 采 用 不 同 强度 的 安全 设备 隔离 各 安全 区 ， 
在 生产 控制 大 区 与 管理 信息 大 区 之 间 必 须 设置 经 国家 指定 部 门 检测 认证 的 电力 专用 横向 单 向 
安全 隔离 装置 ， 隔 离 强 度 应 当 接 近 或 达到 物理 隔离 。 电 力 专 用 横向 单 向 安全 隔离 装置 作为 生产 
控制 大 区 与 管理 信息 大 区 之 间 必 备 的 边界 防护 措施 ， 是 横向 防护 的 关键 设备 。 生 产 控制 大 区 内 
部 的 安全 区 之 间 应 当 采 用 具有 访问 控制 功能 的 网 络 设备 、 防 火 墙 或 者 相当 功能 的 设施 ， 实 现 逻 
辑 隔离 。 安 全 接 入 区 与 生产 控制 大 区 相连 时 ， 应 当 采 用 电力 专用 横向 单 向 安全 隔离 装置 进行 集 
中 互联 。 


4. 纵向 认证 


纵向 加 密 认证 是 电力 监控 系统 安全 防护 体系 的 纵向 防线 。 采 用 认证 、 加 密 、 访 问 控制 等 技 
术 措 施 实 现 数据 的 远方 安全 传输 以 及 纵向 边界 的 安全 防护 。 对 于 重点 防护 的 调度 中 心 、 发 电厂 、 
变电站 ， 在 生产 控制 大 区 与 广域网 的 纵向 连接 处 应 当 设 置 经 过 国家 指定 部 门 检测 认证 的 电力 专 
用 纵向 加 密 认证 装置 或 者 加 密 认证 网 关 及 相应 设施 , 实现 双向 身份 认证 、 数据 加 密 和 访问 控制 。 
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安全 接 入 区 内 纵向 通信 应 当 采 用 基于 非 对 称 密 钥 技术 的 单 向 认证 等 安全 措施 ， 重 要 业务 可 以 采 
用 双向 认证 。 


24.3.2 水 厂 工 控 安全 集中 监控 


本 案例 来 自 国 家 工业 控制 系统 信息 安全 相关 标准 。 水 厂 工 控 安 全 监管 过 程 如 图 24-8 所 示 。 
在 工业 交换 机 旁 路 部 署 工业 集中 监控 管理 平台 ， 通 过 私有 安全 协议 建立 安全 加 密 的 长 连接 ， 实 
现 对 工业 防火 墙 及 工业 监控 设备 的 集中 管理 和 监控 。 对 异常 行为 、 恶 意 代 码 攻 击 、 威 胁 行 为 管 
理 等 可 实现 集中 管理 及 预防 。 

在 工业 以 太 网 交换 机 及 控制 网 交换 机 旁 路 部 署 ICS 信息 安全 监控 设备 , 实现 网 络 结构 风险 
和 活动 的 即时 可 见 ， 对 网 络 中 的 可 疑 行 为 或 攻击 行为 产生 报警 。 同 时 ， 对 网 络 通信 行为 进行 翔 
实 的 审计 记录 ， 定 期 生成 统计 报表 ， 可 用 于 分 析 及 展示 。 


流 克 余 历史 数 _PSE 电 力 监控 现 有 LIMS y 站 
六 过 服务 骂 | 服务 几 操作 员 站 操作 员 站 操作 员 站 


监控 一 体 机 A 


宛 余数 据 
榨 集 服务 器 


取水 泰 站 


图 24-8 水 厂 工控 安全 监管 示意 图 
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24.3.3 工控 安全 防护 厂商 方案 


本 案例 来 自 青岛 某 企业 。 根据 某 客户 工业 控制 系统 的 应 用 环境 需求 , 需要 提供 专业 化 的 适用 
于 工控 环境 的 相关 安全 防护 及 安全 加 固 产 品 ， 全 面 护航 工业 控制 系统 信息 安全 ， 如 图 24-9 所 示 。 


JE 
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24-9 ”工控 安全 系统 架构 示意 图 


是 542 计 。 信息 安全 工程 师 教程 第 2 版 ) 


该 方案 主要 包含 以 下 几 部 分 : 

(1) InTrust 工控 可 信 计 算 安全 平台 : 可 信 计 算 与 系统 加 固 ， 可 信 计 算 技 术 在 工控 安全 领域 
的 创新 应 用 ， 中 国 自主 的 可 信 计 算 模块 及 加 密 算 法 ， 智 能 的 可 信和 度量 与 管控 白 名 单 ， 提 高 系统 
免疫 力 ， 阻 止 一 切 非 可 信 进 程 运行 ， 抗 病毒 、 抗 恶意 攻击 。 

(2) Guard 工业 防火 墙 : 内 置 50 多 种 工业 协议 和 常规 控制 网 络 模型 ， 可 对 OPC、Modbus TCP 
等 通信 提供 基于 工业 协议 的 深度 检查 和 管控 。 同 时 采用 Central Management Platform (CMP， 中 
央 管 理 平台 ) 进行 集中 配置 、 组 态 和 管理 〈 可 远程 甚至 跨国 使 用 ) ， 可 以 实时 在 线 调整 安全 配 
置 策略 ， 使 之 满足 所 保护 区 域 及 设备 的 安全 要 求 。 

(3) 中 央 管 理 平台 (CMP) : 窗口 化 的 中 央 管 理 平台 系统 及 数据 库 ， 用 于 Guard 工业 防火 
墙 的 配置 、 组 态 和 管理 。 

(4) 安全 管理 平台 (SMP) : 安全 管理 中 心 以 底层 工业 防火 墙 以 及 其 他 第 三 方 网 络 设备 为 
探 针 ， 利用 内 置 的 “工业 控制 网 络 通信 行为 模型 库 ”核心 模块 ， 智 能 监控 、 分 析 控 制 网 络 行为 ， 
及 时 检测 工业 网 络 中 出 现 的 工业 攻击 、 非 法 入 侵 、 设 备 异常 等 情况 ， 应 用 数据 库存 储 、 分 析 和 
挖掘 技术 ， 对 危及 系统 网 络 安全 的 因素 做 出 智能 预警 分 析 ， 给 管理 者 提供 决策 支持 ， 以 总 揽 大 
局 的 方式 为 工厂 网 络 信息 安全 故障 的 及 时 排查 、 分 析 提 供 了 可 靠 的 依据 。 


24.4 ”本章 小 结 


本 章 首先 阐述 了 工业 控制 系统 的 概念 及 相关 安全 威胁 、 安 全 隐患 、 安 全 需求 ; 然后 给 出 了 
工业 控制 系统 常见 的 安全 保护 机 制 ， 包 括 物 理 及 环境 安全 防护 、 安 全 分 区 及 边界 保护 、 身 份 认 
证 与 访问 控制 、 运 程 访问 安全 、 恶 意 代 码 防范 、 安 全 监测 等 安全 机 制 和 实现 技术 ; 最后， 提供 
了 工业 控制 系统 安全 应 用 参考 案例 。 
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25.1 ”移动 应 用 安全 威胁 与 需求 分 析 


本 节 内 容 首先 阐述 移动 应 用 系统 的 组 成 ， 然 后 分 析 移 动 应 用 面临 的 安全 威胁 。 下 面 分 别 进 
行 叙 述 。 
25.1.1 移动 应 用 系统 组 成 


随 着 移动 互联 网 技术 的 发 展 ， 智 能 手机 在 工作 、 生 活 中 越 来 越 重 要 ， 人 们 已 经 普遍 使 用 智 
能 手机 上 网 、 通 信 、 支 付 、 办 公 等 。 相 关 基 于 智能 手机 的 移动 应 用 系统 也 快速 发 展 ， 其 基本 组 
成 如 图 25-1 所 示 ， 包 括 三 个 部 分 : 一 是 移动 应 用 ， 简 称 App; 二 是 通信 网 络 ， 包 括 无 线 网 络 、 
移动 通信 网 络 及 互联 网 ; 三 是 应 用 服务 端 ， 由 相关 的 服务 器 构成 ， 负 责 处 理 来 自 App 的 相关 信 
息 或 数据 。 


移动 App 


移动 App 移动 通 | 一 "| 应 用 服务 端 


信 网 络 


移动 App 


图 25-1 移动 应 用 系统 组 成 示意 图 


25.1.2 ”移动 应 用 安全 分 析 


近年 来 移动 应 用 使 用 广泛 ， 相 关 应 用 涉及 个 人 敏感 信息 和 关键 业务 操作 。 与 此 同时 ， 移 动 
应 用 相关 的 安全 问题 日 益 频繁 ， 如 用 户 信息 泄露 、 移 动 恶 意 代码 等 ， 移 动 应 用 面临 各 种 各 样 的 
网 络 安全 威胁 。 移 动 应 用 的 安全 威胁 主要 有 以 下 类 型 。 


1. 移动 操作 系统 平台 安全 威胁 


移动 应 用 的 安全 性 依赖 于 移动 操作 系统 。 目 前 ， 市 场 上 主要 的 移动 操作 系统 是 苹果 公司 的 
iOS 操作 系统 与 Google 公司 开源 的 Android 操作 系统 。 根 据 CVE 公开 漏洞 信息 ， 移 动 操作 系 
统 都 不 同 程度 地 存在 漏洞 。 例 如 ，iOS 的 “1970” 漏 洞 ， 该 漏洞 在 搭载 64 位 处 理 器 的 iOS 8 至 
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m 


iOS 9.3beta3 的 系统 设备 上 ， 通 过 设置 系统 时 间 为 1970 年 5 月 及 更 早 的 日 期 ， 触 发 漏洞 导致 
机 重启 后 不 能 正常 使 用 。 


2. 无 线 网 络 攻击 


攻击 者 利用 移动 应 用 程序 依赖 的 无 线 网 络 通信 环境 或 网 络 服务 的 安全 隐患 ， 实 施 通信 内 
容 监听 、 假 冒 基站 、 网 络 域名 欺诈 、 网 络 钓鱼 等 攻击 活动 。 目 前 ， 移 动 应 用 面临 WiFi、 蓝 牙 
(Bluetooth) 、NFC 等 多 种 无 线 攻击 安全 威胁 。WiFi“ 钓 鱼 ” 是 移动 应 用 安全 威胁 常见 的 形 
式 ， 攻 击 者 通过 一 台 可 控 的 路 由 器 发 射 无 线 信 号 ， 可 以 监控 连接 到 该 路 由 器 的 智能 设备 ， 分 
析 智 能 设备 与 服务 器 通信 的 数据 包 ， 修 改 服务 器 返回 的 网 页 ， 甚 至 还 可 以 伪装 成 受害 者 与 服 
务 器 通信 。 

3. 恶意 代码 


针对 智能 手机 的 恶意 代码 行为 呈 上 升 趋势 ， 常 见 的 恶意 行为 有 流氓 行为 、 资 费 消耗 、 恶 意 
扣 费 、 隐 私 窃取 、 远 程控 制 、 诱 骗 欺 诈 、 系 统 破 坏 、 恶 意 传播 等 。 例 如 ，DroidDream 恶意 软件 
采取 了 把 自己 隐藏 到 其 他 应 用 程序 中 的 方式 , DroidDream 一 旦 入 侵 成 功 , 随后 就 会 从 被 攻击 的 
手机 中 收集 和 传输 用 户 的 敏感 信息 ， 利 用 系统 漏洞 获取 root 权限 ,然后 从 网 上 下 载 一 些 其 他 安 
装 包 ， 最 终 完 全 入 侵 手 机 并 控制 手机 ，BaseBridge 是 一 款 恶 意 扣 费 类 软件 ， 其 把 自己 嵌入 合法 
应 用 程序 中 ， 还 能 够 强制 关闭 某 些 安全 防护 软件 。 


4. 移动 应 用 代码 逆向 工程 


攻击 者 通过 对 移动 应 用 程序 的 二 进 制 代码 进行 反 编 译 分 析 ， 获 取 移 动 应 用 源 代 码 的 关键 算 
法 思路 或 窃取 敏感 数据 。 


S. 移动 应 用 程序 非法 自 改 
攻击 者 利用 安全 工具 ， 非 法 算 改 移动 应 用 程序 ， 实 现 恶意 的 攻击 ， 窃 取 用 户 信息 。 


25.2 Android 系统 安全 与 保护 机 制 


本 节 内 容 阑 述 Android 系统 的 组 成 概况 ， 然 后 分 析 Android 系统 的 安全 机 制 。 下 面 分 别 进 
行 叙 述 。 


25.2.1 Android 系统 组 成 概要 


Android 是 一 个 开源 的 移动 终端 操作 系统 ， 其 系统 结构 组 成 如 图 25-2 所 示 ， 共 分 成 Linux 
内 核 层 (Linux Kemel) 、 系 统 运行 库 层 (Libraries 和 Android Runtime) 、 应 用 程序 框架 层 
(Application Framework) 和 应 用 程序 层 (Applications) 。 
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应 用 
[L 主屏 ] (浏览 器 ] [ 联系 ] [人 电话 ] |[ 区 ] 
应 用 框架 
Activity 管 理 器 内 容 提供 器 ] (位 置 管理 器 ] 【 通知 管理 器 ] 
包 管理 器 ”] (资源 管理 器 ] ( 电话 管理 器 ] [视图 系统 ] [窗口 管理 器 ] 
库 ] Android 运 行 时 
FreeT lib LibWebC 
reeType ibc ibWebCore 区 诛 
媒体 框架 | [_OpenGL | ES sGL | 
Dalvik 虚 拟 机 
SQLite [人 SSL 外 观 管理 器 ] 
Linux 内 核 
音频 驱动 ”] [_Bindre(IPC) 驱 动 ] [ 摄像 头 驱 动 】 [显示 驱动 ] 
闪存 驱动 键盘 驱动 电源 管理 Wi-Fi 驱 动 


图 25-2 Android 系统 架构 示意 图 


Android 系统 的 各 层 都 面临 着 不 同 程度 的 安全 威胁 。 其 中 ， Android 系统 的 基础 层 安全 威 
胁 来 自 Linux 内 核 攻击 ， 目 前 ，Linux 内 核 漏洞 时 有 出 现 ， 内 核 漏洞 常常 导致 攻击 者 能 够 获得 
系统 最 高 权限 , 严重 危及 Android 整体 系统 的 安全 。Android 系统 成 为 恶意 代码 利用 的 重点 目标 ， 
常见 的 形式 有 APK 重 打包 (repackaging) 、 更 新 攻击 、 诱 惑 下 载 、 提 权 攻击 、 远 程控 制 、 恶 意 
付费 、 敏 感 信息 搜集 。 


25.2.2 ”Android 系统 安全 机 制 

为 保护 Android 系统 及 应 用 终端 平台 安全 ，Android 系统 在 内 核 层 、 系 统 运行 库 层 、 应 用 
程序 框架 层 以 及 应 用 程序 层 等 各 个 层面 采取 了 相应 的 安全 措施 ， 以 尽 可 能 地 保护 移动 用 户 数 
据 、 应 用 程序 和 设备 安全 ， 如 图 25-3 所 示 。 

1. 权限 声明 机 制 | 


权限 声明 机 制 ， 为 操作 权限 和 对 象 之 间 设 定 了 一 些 限制 ， 只 有 把 权限 和 对 象 进行 绑 定 ， 才 
可 以 有 权 操作 对 象 。 当 然 ， 权 限 声明 机 制 还 制定 了 不 同 级 别 不 同 的 认证 方式 的 制度 。 在 默认 情 
况 下 Android 应 用 程序 不 会 被 授予 权限 , 其 权限 分 配 根据 Android 应 用 APK 安装 包 中 的 Manifest 
文件 确定 。 应 用 程序 层 的 权限 包括 normal 权限 .dangerous 权限 、signature 权限 、signatureOrSystem 
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权限 。normal 权限 不 会 给 用 户 带 来 实质 性 的 伤害 ，dangerous 权限 可 能 会 给 用 户 带 来 潜在 威胁 ， 
如 读 取 用 户 位 置信 息 ， 读 取 电 话 簿 等 ， 对 于 此 类 安全 威胁 ， 目 前 大 多 数 手机 会 在 用 户 安装 应 用 
时 提醒 用 户 ，signature 权限 表示 具有 同一 签名 的 应 用 才能 访问 ，signatureOrSystem 权限 主要 由 
设备 商 使 用 。 


应 用 程序 层 ， 权 限 声 明 机 制 


系统 运行 库 层 : 安全 沙 箱 、SSL 


25-3 Android 系统 安全 系统 结构 示意 图 


2. 应 用 程序 签名 机 制 


Android 将 应 用 程序 打包 成 .APK 文件 , 应 用 程序 签名 机 制 规定 对 APK 文件 进行 数字 签名 ， 
用 来 标识 相应 应 用 程序 的 开发 者 和 应 用 程序 之 间 存 在 信任 关系 。 所 有 安装 到 Android 系统 中 的 
应 用 程序 都 必须 拥有 一 个 数字 证 书 ， 此 数字 证 书 用 于 标识 应 用 程序 的 作者 和 应 用 程序 之 间 的 信 
任 关系 。 


3. 沙 箱 机 制 


沙 箱 隔 离 机 制 使 应 用 程序 和 其 相应 运行 的 Dalvik 虚拟 机 都 运行 在 独立 的 Linux 进程 空间 ， 
不 与 其 他 应 用 程序 交叉 ， 实 现 完全 隔离 ， 如 图 25-4 所 示 。Android 沙 箱 的 本 质 是 为 了 实现 不 同 
应 用 程序 和 进程 之 间 的 互相 隔离 ， 即 在 默认 情况 下 ， 应 用 程序 没有 权限 访问 系统 资源 或 其 他 应 
用 程序 的 资源 。 每 个 App 和 系统 进程 都 被 分 配 唯 一 并 且 固定 的 User ID， 这 个 UID 与 内 核 层 进 
程 的 UID 对 应 。 每 个 App 在 各 自 独 立 的 Dalvik 虚拟 机 中 运行 ， 拥 有 独立 的 地 址 空间 和 资源 。 
运行 于 Dalvik 虚拟 机 中 的 进程 必须 依托 内 核 层 Linux 进程 而 存在 , 因此 Android 使 用 Dalvik 虚 
拟 机 和 Linux 的 文件 访问 控制 来 实现 沙 箱 机 制 ， 任 何 应 用 程序 如 果 想 要 访问 系统 资源 或 者 其 他 
应 用 程序 的 资源 ， 必 须 在 自己 的 Manifest 文件 中 进行 声明 权限 或 者 共享 UID。 
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4. 网 络 通信 加 密 


Android 支持 使 用 SSL/TSL 协议 对 网 络 数 据 进行 传输 加 密 ， 以 防止 敏感 数据 泄露 。 


Android 应 用 程序 沙 箱 机 制 
两 个 应 用 程序 的 UID 分 别 为 !、2 


Android 应 用 程序 沙 箱 (UID-1) Android 应 用 程序 沙 箱 (UID-2) | 
Linux 进 程 空间 代码 、 数 据 、 堆 栈 、 Linux 进 程 空间 代码、 数据 、 堆 栈 、 
Dalvik 虚 拟 机 实体 ) Dalvik 虚 拟 机 实体 ) 

应 用 程序 资源 (文件 、 数 据 库 、 日 志 等 ) 应 用 程序 资源 (文件 、 数 据 库 、 日 志 等 ) 
资源 所 有 者 : UID-1 资源 所 有 者 : UID-2 


图 25-4 Android 应 用 沙 箱 机 制 示意 图 


5. 内 核 安全 机 制 


Android 系统 的 内 核 层 采用 分 区 和 Linux ACL 权限 控制 机 制 。Linux ACL 权限 控制 机 制 是 
指 每 个 文件 的 访问 控制 权限 都 由 其 拥有 者 、 所 属 的 组 、 读 写 执行 三 个 方面 共同 控制 。 文 件 在 创 
建 时 被 赋予 了 不 同 的 应 用 程序 DD， 只 有 拥有 相同 应 用 程序 ID 或 被 设置 为 全 局 可 读 写 才 能 够 被 
其 他 应 用 程序 所 访问 。 每 个 应 用 均 具 有 自己 的 用 户 人 D, 有 自己 的 私有 文件 目录 。 在 系统 运行 时 ， 
最 外 层 的 安全 保护 由 Linux 提供 ， 其 中 system.img 所 在 的 分 区 是 只 读 的 ， 不 允许 用 户 写 入 ， 
data.img 所 在 的 分 区 是 可 读 写 的 ， 用 于 存放 用 户 的 数据 。 

除了 Linux 常见 的 安全 措施 外 ，Android 后 续 版 本 不 断 增 强 抗 攻 击 安全 机 制 , 在 Android 2.3 版 
本 之 后 增加 了 基于 硬件 的 NX (No eXecute) 支持 ,不 允许 在 堆栈 中 执行 代码 。 在 Android 4.0 之 后 ， 
增加 了 “地 址 空间 布局 随机 化 ‘Address Space Layout Randomization，ASLR) ”功能 ， 防 止 内 存 相 
关 的 攻击 。Android 进一步 支持 具有 强制 访问 控制 功能 的 SELinux， 防 止 内 核 级 提 权 攻击 。 


25.3 iOS 系统 安全 与 保护 机 制 


本 节 内 容 阐述 iOS 系统 的 组 成 概况 ， 然 后 分 析 iOS 系统 的 安全 机 制 。 
25.3.1 ios 系统 组 成 概要 

苹果 公司 建立 以 iOS 平台 为 核心 的 封闭 的 生态 系统 ，iOS 的 智能 手机 操作 系统 的 原名 为 
iPhoneOS， 其 核心 与 Mac OS X 的 核心 同样 都 源 自 Apple Darwin。iOS 的 系统 架构 如 图 25-5 所 


示 ， 其 分 为 四 个 层次 : 核心 操作 系统 层 (Core OS Layer) 、 核 心服 务 层 (Core Services Layer) 、 
媒体 层 (Media Layer) 和 可 触摸 层 (Cocoa Touch Layer) 。 
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可 触摸 导 
通信 录 界 面 | [游戏 控件 地 图 控件 手表 控件 | | 通知 中 心 
事件 控件 界面 | | ”广告 框架 邮箱 控件 图 片 控件 
媒体 导 
媒体 数据 库 | [音频 核心 文字 核心 图 形 读 写 游戏 音频 库 
音频 工具 集 2D 演 染 视频 核心 媒体 访问 图 形 库 系统 
音频 单元 图 像 处 理 核 心 游戏 控制 媒体 播放 
核心 服务 层 
账户 管理 | | 生命 周期 管理 | | 核心 电话 脚本 核心 推送 工具 集 
通讯 录 框 架 | [系统 服务 核心 | | 事件 控件 项 目 预 览 网 络 工具 集 
图 形 驱动 工具 | |。 核心 位 置 点 对 点 连接 | | 社会 化 分 享 
核心 操作 系统 层 
加 速 | [蓝牙 | | 外 部 访问 | [ 本 地 授权 安全 系统 


图 25-5 iOS 系统 架构 示意 图 


。 ”可 触摸 层 。 为 应 用 程序 开发 提供 了 各 种 常用 的 框架 并 且 大 部 分 框架 与 界面 有 关 ， 负 责 
用 户 在 iOS 设备 上 的 触摸 交互 操作 。 

。 媒体 层 。 提 供应 用 中 视听 方面 的 技术 ， 如 图 形 图 像 相关 的 Core Graphics、Core Image、 
GLKit、OpenGL ES、Core Text 等 ， 声 音 相关 的 Core Audio、OpenAL、AV Foundation， 
视频 相关 的 Core Media、Media Player 框架 ， 音 视频 传输 的 AirPlay 框架 等 。 

。 核心 服务 层 。 提 供给 应 用 所 需要 的 基础 的 系统 服务 ， 如 账户 、 数 据 存储 、 网 络 连 接 、 
地 理 位 置 、 运 动 框架 等 。 

。 ”核心 操作 系统 层 。 提 供 本 地 认证 、 安 全 、 外 部 访问 、 系 统 等 服务 。 


25.3.2 iOS 系统 安全 机 制 
iOS 平台 的 安全 架构 可 以 分 为 硬件 、 固 件 、 软 件 ， 如 图 25-6 所 示 。 
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数据 
保护 类 


应 用 沙 盒 


设备 密 钥 
组 密 钥 
Apple 根 证 书 


图 25-6 iOS 安全 架构 示意 图 


硬件 、 固 件 层 由 设备 密 钥 、 设 备 组 密 钥 、 苹 果 根 认证 、 加 密 引 擎 、 内 核 组 成 。Secure Enclave 
是 苹果 高 版 本 A 系列 处 理 器 中 的 协 处 理 器 ， 独 立 于 应 用 处 理 器 之 外 ， 提 供 所 有 加 密 操作 。 

软件 层 则 由 文件 系统 、 操 作 系统 分 区 、 用 户 分 区 、 应 用 沙 盒 及 数据 保护 类 构成 。 

苹果 基于 这 一 整体 安全 架构 ， 集 成 了 多 种 安全 机 制 ， 共 同 保护 iOS 平台 的 安全 性 ， 主 要 安 
全 机 制 如 下 。 


1. 安全 启动 链 


iOS 平台 的 安全 依赖 于 启动 链 的 安全 ， 为 防止 黑客 攻击 启动 过 程 ，iOS 启动 过 程 使 用 的 组 
件 要 求 完整 性 验证 ， 确 保 信任 传递 可 控 。iOS 启动 过 程 如 图 25-7 所 示 。 

打开 iOS 设备 后 ， 其 应 用 处 理 器 会 立即 执行 只 读 内 存 〈 也 称 为 引导 ROM) 中 的 代码 。 这 
些 不 可 更 改 的 代码 是 在 制造 芯片 时 设置 好 的 ， 为 隐 式 受信 任 代码 。 引 导 ROM 代码 包含 苹果 根 
CA 公 和 钥 ， 该 公 钥 用 于 验证 底层 引导 加 载 程序 (LLB》 是 否 经 过 苹果 签名 ， 以 决定 是 否 允 许 其 
加 载 。 引 导 路 径 从 引导 ROM 出 来 之 后 分 叉 为 两 条 执行 路 径 : 一 条 是 普通 引导 ; 另 一 条 则 是 设 
备 固件 更 新 模式 ， 这 个 模式 用 于 更 新 iOS 镜像 。 
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恢复 用 的 
Ramdisk 
vy 
| LLB > iBoot > 内 核 
不 
引导 ROM 一 
4 


> iBSS “上 > iBEC > 更 新 Ramdisk 


25-7 ”iOS 启动 过 程 示意 图 


2. 数据 保护 


针对 移动 设备 因 丢失 或 被 窃取 导致 的 泄露 数据 的 风险 ， 苹 果 公 司 的 iOS 4 提供 了 数据 保护 
API (Data Protection API) 。API 让 应 用 开发 者 尽 可 能 简单 地 对 文件 和 keychain 项 中 存储 的 敏 
感 用 户 数据 施 以 足够 的 保护 ， 以 防 它们 在 用 户 设备 丢失 时 被 泄露 。 


3. 数据 的 加 密 与 保护 机 制 


加 解密 是 耗 时 耗 能 源 的 操作 , 而 iOS 内 所 有 用 户 数据 都 是 强制 加 密 的 , 加 密 功 能 不 能 关闭 。 
苹果 的 AES 加 解密 引擎 都 是 硬件 级 的 ， 位 于 存储 与 系统 之 间 的 DMA 内 ， 所 有 进出 存储 的 数据 
都 要 经 过 硬件 的 加 密 与 解密 ， 这 样 提供 了 较 高 的 效率 与 性 能 。 除 此 之 外 ，iOS 提供 了 名 为 File 
Data Protection 的 数据 保护 方法 。 所 有 文件 在 加 密 时 使 用 的 key 都 是 不 同 的 ， 这 些 key 被 称 作 
Profile Key， 存 储 于 Metafile 内 。 


4. 地 址 空间 布局 随机 化 


iOS 引入 地 址 空间 布局 随机 化 ASLR》 安 全 保护 技术 ， 利 用 ASLR 技术 ,确保 iOS 的 二 进 
制 文件 、 库 文件 、 动 态 链接 文件 、 栈 和 堆 内 存 地 址 的 位 置 是 随机 分 布 的 ， 从 而 增强 抗 攻 击 能 力 。 


S. 代码 签名 
为 防止 应 用 攻击 ，iOS 系统 要 求 所 有 可 执行 程序 必须 使 用 苹果 公司 发 放 的 证 书签 名 。 
6. 沙 箱 机 制 


iOS 为 限制 恶意 代码 执行 所 造成 的 破坏 ， 提 供 iOS 沙 箱 机 制 ， 通 过 沙 箱 机 制 ， 可 以 限制 进 
程 的 恶意 行为 。 
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25.4 ”移动 应 用 安全 保护 机 制 与 技术 方案 


本 节 内 容 首 先 阐述 移动 应 用 App 的 安全 风险 ， 然 后 给 出 移动 应 用 App 的 安全 加 固 措施 及 
安全 检测 方法 。 
25.4.1 移动 应 用 App 安全 风险 


移动 应 用 App 是 指 运行 在 智能 设备 终端 的 客户 端 程序 , 其 作用 是 接收 和 响应 移动 用 户 的 服 
务 请 求 , 是 移动 服务 界面 窗口 。 由 于 移动 应 用 App 安装 在 用 户 的 智能 设备 上 (通常 为 智能 手机 )， 
很 容易 遭受 到 反 编 译 、 调 试 、 算 改 、 数 据 窃取 等 安全 威胁 。 


25.4.2 ”移动 应 用 App 安全 加 固 


为 保护 移动 应 用 App 的 安全 性 ， 通 常 采 用 防 反 编译 、 防 调试 、 防 算 改 、 防 窃取 等 多 种 安全 
保护 措施 。 


1. 防 反 编译 


对 移动 应 用 程序 文件 进行 加 密 处 理 ， 防 止 攻击 者 通过 静态 的 反 编译 工具 ,获取 到 应 用 的 源 
代码 。 除 了 加 密 措 施 之 外 , 还 可 以 对 移动 应 用 程序 进行 代码 混淆 , 增加 破解 者 阅读 代码 的 难度 。 
常见 的 混淆 方法 有 名 字 混 淆 、 控 制 混淆 、 计 算 混淆 等 。 例 如 ， 将 移动 应 用 App 程序 中 有 明确 含 
义 的 变量 蔡 换 成 无 意义 变量 ， 在 移动 应 用 App 程序 中 插入 无 关 的 代码 ， 修 改 计算 等 式 。 

2. 防 调试 

动态 调试 利用 调试 器 启动 或 附加 应 用 程序 ， 可 对 应 用 程序 运行 时 的 情况 进行 控制 ， 可 以 在 
某 一 行 代码 上 设置 断 点 ， 使 进程 能 够 停 在 指定 代码 行 ， 并 实时 显示 进程 当前 的 状态 ， 甚 至 可 通 
过 改变 特定 使 用 目的 寄存 器 值 来 控制 进程 的 执行 。 通 过 调试 器 ， 可 以 获取 应 用 程序 运行 时 的 所 
有 信息 。 

为 防止 应 用 程序 动态 调试 ， 应 用 程序 设置 调试 检测 功能 ， 以 触发 反 调试 安全 保护 措施 ， 如 
清理 用 户 数 据 、 报 告 程序 所 在 设备 的 情况 、 禁 止 使 用 某 些 功能 甚至 直接 退出 运行 。 

3. 防 算 改 


通过 数字 签名 和 多 重 校 验 的 防护 手段 ， 验 证 移动 应 用 程序 的 完整 性 ， 防 范 移动 应 用 程序 
APK 被 二 次 打包 以 及 盗版 。 


4. 防 窃取 


对 移动 应 用 相关 的 本 地 数据 文件 、 网 络 通 信 等 进行 加 密 ， 防 止 数据 被 窃取 。 
国内 App 安全 加 固 商用 工具 主要 有 腾讯 乐 因 、360 加 固 和 材 材 加 固 ， 详 细 情 况 可 参看 相关 
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公司 的 网 站 。 除 了 商业 工具 外 ， 也 有 免费 的 安全 工具 ， 如 ProGuard。ProGuard 是 一 个 压缩 、 优 
化 和 混淆 Java 字 节 码 文件 的 免费 工具 ， 可 以 删除 无 用 的 类 、 字 段 、 方 法 和 属性 。 删 除 没 用 的 注 
释 ， 最 大 限度 地 优化 字 节 码 文件 ， 还 可 以 使 用 简短 的 、 无 意义 的 名 称 来 重 命名 已 经 存在 的 类 、 
字段 、 方 法 和 属性 。 


25.4.3 ”移动 应 用 App 安全 检测 


随 着 移动 应 用 App 的 应 用 普及 ， 其 安全 威胁 活动 日 益 频 繁 ， 攻 击 者 对 目标 移动 应 用 App 
进行 破解 、 重 新 打包 ， 对 移动 服务 端 进行 安全 渗透 ， 盗 取 用 户 敏感 信息 和 数据 。 针 对 移动 应 用 
App 的 安全 性 进行 检测 十 分 必要 。 常 见 的 移动 应 用 App 网 络 安全 检测 内 容 如 下 : 

。 ”身份 认证 机 制 检测 ; 

。 ”通信 会 话 安全 机 制 检测 ; 

。 ”敏感 信息 保护 机 制 检 测 ; 

。 日 志 安 全 策略 检测 ; 

。 ”交易 流程 安全 机 制 检 测 ; 

。 ”服务 端 鉴 权 机 制 检测 ; 

。 访问 控制 机 制 检测 ; 

。 ”数据 防 自 改 能 力 检测 ; 

。 防 SQL 注入 能 力 检测 ; 

。 ” 防 钓 鱼 安全 能 力 检测 ; 

。 ”App 安全 漏洞 检测 。 

Android 移动 应 用 安全 测试 工具 有 许多 , 常见 的 是 进程 注入 工具 Inject、HijackActivity 支持 
检测 工具 、Jeb 静态 逆向 分 析 工 具 、APK 反 编 译 和 打包 工具 apktool、 数 据 抓 包工 具 
Tcpdump/Wireshark、Android Hook 框架 Xposed、 基 于 代理 实现 的 抓 包 和 分 析 工 具 Burpsuite、 
静态 分 析 工 具 Androguard、 安 卓 APK 文件 数据 流 分 析 工 具 FlowDroid、 安 卓 应 用 逆向 工具 
Android Killer 等 。 

为 保护 个 人 信息 安全 ， 规 范 App 的 应 用 ， 国 家 有 关 部 门 已 发 布 了 《信息 安全 技术 移动 互 
联网 应 用 程序 (App) 收集 个 人 信息 基本 规范 〈 草 案 ) 》。 其 中 ， 针 对 Android 6.0 及 以 上 的 
可 收集 个 人 信息 的 权限 , 给 出 了 服务 类 型 的 最 小 必要 权限 参考 范围 , 具体 要 求 是 : 四 地 图 导航 : 
位 置 权限 、 存 储 权 限 ; @@) 网 络 约 车 : 位 置 权限 、 拨 打 电 话 权限 ; @) 即 时 通信 : 存储 权限 ; @ 博 
客 论 坛 : 存储 权限 ，(@) 网 络 支付 : 存储 权限 ; (@) 新 闻 资 讯 : 无 ， 网 上 购物 ， 无 ， @ 短 视频 : 
存储 权限 ， 9 快递 配送 : 无 ; @ 和 餐饮 外 卖 : 位 置 权 限 、 拨 打 电 话 权限 ; @@ 交 通票 务 : 无 ，@ 婚 
恋 相 亲 : 存储 权限 ; 3 求职 招聘 存储 权限 @ 金 融 借贷 : 存储 权限 @ 房 屋 租 售 : 存储 权限 ; 
二 手 车 交易 : 存储 权限 运动 健身 :位 置 权 限 、 传 感 器 权限 ; @ 问 诊 挂号 : 存储 权限 ; 四 网 
页 浏览 器 : 无 ; 四 输入 法 : 无 ; 加 安全 管理 : 存储 权限 、 获 取 应 用 账户 、 读 取 电 话 状态 权限 、 
短信 权限 。 
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25.5 ”移动 应 用 安全 综合 应 用 案例 分 析 


根据 公开 资料 ， 本 节 给 出 金融 移动 安全 、 运 营 商 移动 安全 、 移 动 办 公安 全 等 参考 案例 。 
25.5.1 ”金融 移动 安全 


移动 金融 为 用 户 提 供 了 更 加 便利 、 快 捷 的 金融 服务 。 与 此 同时 ， 移 动 金融 引发 大 量 黑 客 
攻击 活动 ， 常 见 的 安全 风险 有 木马 控制 用 户 手 机 、 钓 鱼 App 捕获 用 户 账户 信息 、 窃 取 转 移 
用 户 资金 等 。 围 绕 金融 类 App 的 安全 防护 ， 柳 柳 安 全 等 网 络 安 全 厂商 提供 的 App 安全 保护 
方案 内 容 如 下 。 

1. 实施 移动 App 安全 开发 管理 

针对 金融 业务 安全 性 需求 提供 咨询 服务 ， 帮 助 客户 了 解 潜 在 安全 风险 、 优 化 业务 设计 。 在 
App 设计 时 ， 考 虑 应 用 安全 问题 。 开 展 移动 安全 编程 培训 ， 培 养 安全 意识 。App 增加 安全 防护 


功能 ， 提 供 安 全 软 键盘 、 防 界面 动 持 、 短 信保 护 、 清 场 等 安全 SDK 和 组 件 。 对 移动 应 用 源 代 
码 进行 安全 性 检查 及 风险 排查 ， 减 少 App 代码 安全 漏洞 ， 及 早 发 现金 融 业 务 安全 风险 。 


2. 移动 App 网 络 通信 内 容 安全 加 密 保护 

针对 移动 App 应 用 通信 协议 进行 加 密 保护 ,防止 应 用 通信 协议 被 逆向 分 析 , 防止 各 类 刷 单 、 
非 授 权 客 户 端 访问 行为 。 对 本 地 文件 进行 加 密 保护 。 

3. 移动 App 安全 加 固 


对 App 进行 安全 加 固 ， 如 dex 加 密 、smali 流程 混淆 、so 文件 加 密 、 关 键 函数 加 密 、 增 加 
反 调 试 和 反 编 译 功能 。 


4. 移动 App 安全 测评 


对 移动 应 用 进行 渗透 性 测试 服务 ， 挖 掘 移动 应 用 的 安全 漏洞 ， 避 免 安全 风险 。 参 照 《 电 子 
银行 业务 管理 办 法 》《 电 子 银行 安全 评估 指引 》《 中 国 金融 移动 支付 ”客户 端 技术 规范 》《 中 
国 金融 移动 支付 ”应 用 安全 规范 》 等 安全 标准 及 信息 安全 等 级 保护 标准 等 要 求 进行 合 规 性 核 
查 ， 避 免 移 动 应 用 合 规 风 险 。 


S. 移动 App 安全 监测 


。 ”钓鱼 监测 及 响应 。 对 App 的 仿冒 、 钓 鱼 应 用 进行 钓鱼 监测 及 响应 ， 及 时 通知 用 户 ， 并 
快速 联系 渠道 下 架 仿冒 、 钓 鱼 应 用 App， 避 免 安 全 影响 。 
。 ”App 漏洞 监测 及 响应 。 监 测 移动 设备 、 移 动 应 用 、 服 务 器 等 新 增 、 突 发 漏洞 ， 及 时 规 


加 554 基 。 信息 安全 工程 师 教程 第 2 版 ) 


25:5.2 


避 漏 洞 风险 。 
盗版 监测 及 响应 。 监测 App 应 用 分 发 渠道 上 出 现 的 盗版 应 用 , 随时 进行 盗版 下 架 处 理 。 
移动 威胁 安全 态势 感知 。 捕获 针 对 App 的 攻击 行为 ， 提 供 可 视 化 数据 分 析 平 台 及 实时 
安全 防 控 技 术 。 


运营 商 移 动 安全 


运营 商 移动 应 用 安全 主要 面临 的 安全 威胁 如 下 


账号 、 密 码 窃取 。 通 过 病毒 、 木 马 、 社 工 库 收 集 、 字 和 典 破 解 性 猜测 等 方式 ， 非 法 获得 
用 户 账号 及 密码 。 

漏洞 利用 。 黑 客 及 非法 利益 团体 ， 通 过 系统 漏洞 侵入 运营 商 服务 器 。 

恶意 代码 。 将 病毒 、 木 马 、 罗 辑 炸弹 、 恶 意 扣 费 等 恶意 代码 捆绑 在 移动 应 用 上 ， 通 过 
运营 商 网 络 向 普通 用 户 扩 散 。 

数据 窃取 。 利 用 非法 手段 窃取 、 盗 用 运营 商用 户 重要 数据 。 

恶意 刷 量 、 刷 单 。 利 用 运营 商用 户 数据 监管 漏洞 ， 伪 造 大 量 虚假 身份 /盗用 真实 用 户 身 
份 进行 自动 化 大 批量 的 刷 单 、 刷 量 。 

拒绝 服务 攻击 。 非 法 用 户 利用 拒绝 服务 手段 攻击 系统 。 

计 费 SDK 破解 。 通 过 反 编 译 、 破 解 等 手段 ， 屏 项 、 破 解 运营 商 的 移动 应 用 计 费 SDK。 
钓鱼 攻击 。 通 过 仿冒 正版 的 钓鱼 移动 应 用 程序 ， 截 获 、 捕 捉 用 户 输入 数据 ， 非 法 入 侵 
用 户 互联 网 账户 系统 。 

社工 库 诈 骗 。 通 过 盗版 、 高 仿 应 用 收集 用 户 信息 ， 以 及 泄露 的 其 他 社工 库 ， 对 用 户 实 
施 诈骗 。 


针对 运营 商 移动 应 用 安全 问题 ， 材 村 安全 等 网 络 安全 厂商 提供 的 App 安全 保护 方案 如 下 


25.5.3 


加 固 运营 商 App， 以 及 通过 运营 商 应 用 市 场 推广 的 所 有 第 三 方 App。 

对 提交 到 运营 商 应 用 市 场 的 第 三 方 App 提供 病毒 、 木 马 、 恶 意 代码 查 杀 服务 。 

对 运营 商 的 计 费 SDK 提供 基于 防 调 、 防 改 、 防 破解 的 加 固 保护 服务 。 

对 运营 商 的 通信 协议 、 证 书 进行 加 密 。 

提供 基于 移动 应 用 的 威胁 态势 感知 服务 ， 实 时 预警 接 入 网 络 的 异常 流量 、 入 侵 攻击 、 
风险 App 等 。 


移动 办 公安 全 


移动 办 公主 要 面临 以 下 风险 


设备 丢失 。 操 控 丢失 设备 接 入 企业 内 网 ， 窃 取 企 业 机 密 数 据 ， 破 坏 后 台 系统 。 
信息 泄露 。 存 储 在 本 地 设备 中 的 敏感 数据 丢失 或 被 窃取 ， 导 致 信息 泄露 。 
恶意 攻击 。 植 入 恶意 程序 ， 对 组 织 机 构 服务 器 进行 入 侵 攻 击 。 

共享 访问 。 员 工分 享 设备 、 账 号 密码 ， 泄 露 组 织 机 构 机 密 信 息 。 


第 25 章 “移动 应 用 安全 需求 分 析 与 安全 保护 工 程 “ 国 555 荐 


。 WiFi 监听 。 接 入 钓鱼 热点 ， 通 信 数 据 被 劫持 监听 。 

针对 移动 办 公安 全 问题 ， 天 融 信 、 构 枯 安 全 、360 等 各 网 络 安全 厂商 提出 移动 设备 安全 接 
入 、 移 动 设备 安全 管理 、 移 动 恶意 代码 防范 、 移 动 App 安全 加 固 等 技术 方案 。 现 以 360 移动 终 
端 安全 管理 系统 方案 为 例 ， 其 方案 描述 如 下 。 

360 天 机 移动 终端 安全 管理 系统 包括 安全 管理 平台 和 移动 客户 端 两 个 部 分 ,通过 管理 平台 
对 装 有 移动 客户 端的 终端 进行 安全 管理 ， 提 供 对 终端 外 设 管理 、 配 置 推 送 、 系 统 参数 调整 等 服 
务 ， 同 时 结合 管理 员 可 控 的 安全 策略 机 制 ， 实 现 更 全 面 的 安全 管控 特性 ， 解 决 了 组 织 机 构 在 移 
动 办 公 过 程 中 遇 到 的 数据 安全 以 及 设备 管理 的 问题 ， 如 图 25-8 所 示 。 


Hitps 443/TCP 8883E2 333 
> 


[LJ] Hitp 8O/SSH 22 
| ' 


图 25-8 ”360 天 机 移动 终端 安全 管理 系统 部 署 示意 图 


25.6 ”本 章 小 结 


本 章 首先 介绍 了 移动 应 用 系统 的 组 成 及 相关 安全 威胁 ， 并 分 析 了 Android 系统 的 组 成 与 安 
全 机 制 、iOS 系统 的 组 成 与 安全 机 制 ， 然后 简要 归纳 总 结 了 移动 应 用 App 的 安全 风险 问题 ， 给 
出 了 其 相应 的 安全 保护 措施 、 安 全 检测 内 容 及 工具 ; 最 后 ， 以 金融 移动 安全 、 运 营 商 移动 安全 、 
移动 办 公安 全 为 案例 ， 给 出 了 移动 应 用 安全 措施 实施 参考 。 
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安全 保护 工程 


26.1 大 数据 安全 威胁 与 需求 分 析 


大 数据 成 为 数字 经 济 时 代 新 的 生产 要 素 ， 本 节 主 要 内 容 首 先 阐述 大 数据 的 基本 概念 ， 然 后 
分 析 大 数据 面临 的 安全 问题 ， 给 出 了 大 数据 的 安全 需求 。 


26.1.1 大 数据 相关 概念 发 展 


数据 成 为 信息 时 代 的 重要 资源 。 正 如 麦肯锡 公司 所 提 到 ， 在 商业 、 经 济 及 其 他 领域 中 ， 经 
营 和 决策 将 日 益 基于 数据 和 分 析 而 作出 ， 而 并 非 基于 经 验 和 直觉 。 随 着 数字 化 、 网 络 化 、 智 能 
化 等 相关 信息 技术 的 应 用 发 展 ， 数 据 产 生 及 获取 日 益 方便 ， 数 据 规 模 已 超出 了 传统 数据 库存 储 
及 分 析 处 理 能 力 范围 ， 从 而 形成 大 数据 的 新 概念 。 一 般 来 说 ， 大 数据 是 指 非 传统 的 数据 处 理工 
具 的 数据 集 ， 具 有 海量 的 数据 规模 、 快 速 的 数据 流转 、 多 样 的 数据 类 型 和 价值 密度 低 等 特征 。 
大 数据 的 种 类 和 来 源 非常 多 ， 包 括 结构 化 、 半 结构 化 和 非 结构 化 数据 。 

大 数据 正在 逐步 影响 着 国家 治理 、 城 市 发 展 、 企 业 生产 、 商 业 变革 以 及 个 人 生活 。 目 前 ， 
国内 大 数据 仍 处 于 发 展 阶段 ， 各 地 区 、 各 部 门 及 机 构 都 积极 开展 大 数据 的 应 用 开发 ， 抢 占 发 展 
先 机 。 有 关 大 数据 的 新 兴 网 络 信息 技术 应 用 不 断 出 现 ， 主 要 包括 大 规模 数据 分 析 处 理 、 数 据 挖 
据 、 分 布 式 文件 系统 、 分 布 式 数据 库 、 云 计算 平台 、 互 联网 和 存储 系统 。 


26.1.2 ”大 数据 安全 威胁 分 析 

随 着 大 数据 的 应 用 推进 ， 各 种 各 样 的 数据 被 汇聚 和 大 量 集中 ， 大 数据 发 展 与 应 用 面临 着 复 
杂 严 峻 的 安全 挑战 。 

1. “数据 集 ” 安 全 边界 日 渐 模糊 ， 安 全 保护 难度 提升 

多 源 、 海 量 、 异 构 、 分 布 存储 等 大 数据 新 技术 导致 数据 集 的 安全 边界 日 渐 模糊 ， 造 成 基于 
网 络 安全 边界 的 安全 防护 措施 难以 完全 有 效 。 数 据 交易 和 共享 促使 数据 流动 日 益 频 繁 ， 静 态 安 


全 措施 难以 完全 满足 数据 安全 保障 要 求 。 复 杂 分 布 式 计 算 环 境 使 得 网 络 攻击 的 影响 增 大 ， 单 个 
节点 遭受 侵害 影响 整个 系统 安全 ， 例 如 数据 存储 设备 、 域 名 服务 器 、 认 证 服务 器 等 。 
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2. 敏感 数据 泄露 安全 风险 增 大 


数据 丢失 或 被 盗 取 ， 有 可 能 影响 国家 安全 、 社 会 安全 和 经 济 安全 。 对 于 公司 企业 来 说 ， 
客户 数据 的 丢失 导致 品牌 的 损害 、 竞 争 中 处 于 劣势， 以 及 严重 法 律 责任 。 蕴 含 着 海量 数据 和 潜 
在 价值 的 大 数据 成 为 网 络 攻击 的 首要 目标 。 近 年 来 频繁 爆发 邮箱 账号 、 社 保 信息 、 银 行 卡号 等 
数据 大 量 被 窍 的 安全 事件 。 


3. 数据 失真 与 大 数据 污染 安全 风险 


攻击 者 利用 数据 输入 或 数据 平台 缺陷 ， 构 造 恶 意 数据 并 将 其 注入 数据 处 理 系统 中 ， 干 扰 数 据 
处 理 系 统 的 正常 运行 或 误导 计算 。 例 如 ， 网 络 水 军 发 送 虚 假 评论 数据 ， 通 过 伪造 数据 来 制造 假象 
对 数据 分 析 人 员 进 行 诱导 ， 导 致 数据 分 析 错 误 的 结果 ， 给 相关 机 构 带 来 损失 。 典 型 事例 有 电 商 产品 
的 评分 、 网 站 访问 流量 、 网 页 虚假 排名 等 。 另 一 方面 , 数据 获取 隐患 也 会 导致 人 工 智能 的 安全 问题 。 


4. 大 数据 处 理 平台 业务 连续 性 与 拒绝 服务 


随 着 大 数据 的 应 用 普及 ， 许 多 关键 业务 依赖 于 大 数据 处 理 平台 的 连续 稳定 运行 。 例 如 ， 电 
商 服务 平台 、 金 融 服 务 平台 等 。 恶 意 攻击 者 利用 数据 处 理 平台 的 漏洞 ， 发 起 拒绝 服务 攻击 ， 导 
致 用 户 无 法 正常 访问 数据 资源 ， 从 而 中 断 业 务 运营 。 


S. 个 人 数据 广泛 分 布 于 多 个 数据 平台 ， 隐 私 保护 难度 加 大 


目前 ， 个 人 数据 广泛 分 布 于 互联 网 电 商 平台 、 定 位 导航 、 铁 路 公路 售票 、 民 航 票 务 、 快 递 
物流 跟踪 、 网 约 车 服务 平台 、 旅 游 服 务 平台 以 及 微 信 社 交 平 台中 。 这 些 个 人 数据 蕴含 公民 身份 
信息 、 位 置信 息 、 行 程 信息 、 物 品 运输 信息 ， 己 成 为 国内 外 黑市 交易 的 “黄金 数据 ”， 诱 使 非 
法 个 人 或 组 织 进行 数据 贩卖 以 牟取 暴利 ， 直 接 危 害 个 人 的 经 济 利益 与 人 身 安全 ， 严 重 阻 碍 大 数 
据 产 业 的 健康 发 展 。 多 源 数据 汇聚 、 共 享 融合 使 得 用 户 的 隐私 保护 技术 受到 挑战 ， 个 人 敏感 数据 
在 采集 、 传 输 、 存 储 、 处 理 、 发 布 、 使 用 等 环节 存在 数据 泄露 的 风险 。 例 如 ， 个 人 身份 证 号 码 信 
息 暴 露 在 公共 互联 网 中 ， 授权 用 户 通过 授权 访问 的 数据 集 进行 推导 分 析 获 取 非 授权 的 信息 。 


6. 数据 交易 安全 风险 


数据 交易 是 指数 据 供 方 和 需 方 之 间 以 数据 商品 作为 交易 对 象 ， 进 行 的 以 货币 交换 数据 商 
品 , 或 者 以 数据 商品 交换 数据 商品 的 行为 。 数据 交易 促进 商业 合作 , 但 也 形成 潜在 的 安全 风险 。 
如 非法 数据 交易 、 虚 假 数 据 交 易 、 交 易 服 务 不 完整 、 交 易 数 据 汇聚 导 致 敏感 数据 泄露 、 跨 境 数 
据 流动 安全 等 安全 风险 。 


7. 大 数据 滥用 


万 物 互联 ， 不 同 数据 集 之 间 蕴 含 潜在 关联 关系 。 随 着 大 数据 分 析 技 术 发 展 、 数 据 的 不 断 累 
积 ， 大 数据 分 析 可 以 发 现 更 多 、 更 深入 的 关联 关系 。 例 如 ， 利 用 大 数据 技术 和 不 同 的 生命 科学 
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相关 大 数据 ， 可 以 开发 针对 特定 人 群 的 生物 病毒 ， 容 易 对 群体 的 生命 安全 产生 重大 威胁 。 综 合 
关联 分 析 微 信 图 片 数据 、 智 能 手机 位 置 数据 ， 可 以 识别 到 自然 人 ， 挖 掘 出 个 人 隐私 信息 。 
26.1.3 ”大 数据 安全 法 规 政策 

国内 近 几 年 已 经 发 布 了 多 项 大 数据 安全 保护 相关 的 政策 法 规 文件 。 

1. 《气象 资料 共享 管理 办 法 》 

2001 年 11 月 ， 中 国 气象 局 发 布 的 《气象 资料 共享 管理 办 法 》 (中国 气象 局 令 第 4 号 ) 规 


定 ， 用 户 不 得 直接 将 其 从 各 级 气象 主管 机 构 获 得 的 气象 资料 ， 用 作 向 外 分 发 或 供 外 部 使 用 的 数 
据 库 、 产 品 和 服务 的 一 部 分 ， 也 不 得 间接 用 作 生 成 它们 的 基础 。 


2. 《中 国人 民 银 行 关于 银行 业 金 融 机 构 做 好 个 人 金融 信息 保护 工作 的 通知 》 
该 通知 规定 ， 在 中 华人 民 共 和 国境 内 收集 的 个 人 金融 信息 的 储存 、 处 理 和 分 析 应 当 在 中 国 


境内 进行 。 除 法 律 法 规 及 中 国人 民 银 行 另 有 规定 外 ， 银 行业 金融 机 构 不 得 向 境外 提供 境内 个 人 
金融 信息 。 


3. 《全 国人 民 代 表 大 会 常务 委员 会 关于 加 强 网 络 信息 保护 的 决定 》 
该 决定 要 求 ， 国 家 保护 能 够 识别 公民 个 人 身份 和 涉及 公民 个 人 隐私 的 电子 信息 。 网 络 服务 
提供 者 和 其 他 企业 事业 单位 应 当 采 取 技 术 措施 和 其 他 必要 措施 ， 确 保 信息 安全 ， 防 止 在 业务 活 


动 中 收集 的 公民 个 人 电子 信息 泄露 、 毁 损 、 丢 失 。 在 发 生 或 者 可 能 发 生 信息 泄露、 毁损 、 丢 失 
的 情况 时 ， 应 当 立 即 采 取 补 救 措施 。 


4. 《电信 和 和 互联 网 用 户 个 人 信息 保护 规定 》 


该 规定 于 2013 年 由 中 华人 民 共 和 国 工业 和 信息 化 部 公布 ， 明 确 了 电信 业务 经 营 者 、 互 联 
网 信息 服务 提供 者 收集 、 使 用 用 户 个 人 信息 的 规则 和 信息 安全 保障 的 措施 要 求 。 


$5. 《中 华人 民 共 和 国 消费 者 权益 保护 法 〈2013 修正 ) 》 


《中 华人 民 共 和 国 消费 者 权益 保护 法 (2013 修正 ) 》 于 2014 年 正式 实施 。 该 法 明确 了 消费 
者 享有 个 人 信息 依法 得 到 保护 的 权利 ， 同 时 要 求 经 营 者 采取 技术 措施 和 其 他 必要 措施 ， 确 保 信 
息 安全 ， 防 止 消费 者 个 人 信息 泄露 、 丢 失 。 


6. 《地 图 管理 条 例 》 


2015 年 11 月 ， 国 务 院 第 111 次 常务 会 议 通过 《地 图 管理 条 例 》， 要 求 互联 网 地 图 服务 单 
位 应 当 将 存放 地 图 数据 的 服务 器 设 在 中 华人 民 共 和 国境 内 ， 并 制定 互联 网 地 图 数据 安全 管理 制 
度 和 保障 措施 。 
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7. 《中 华人 民 共 和 国 网 络 安全 法 》 


2016 年 , 全 国人 民 代表 大 会 常务 委员 会 发 布 了 《中 华人 民 共 和 国 网 络 安全 法 》。 其 中 要 求 
网 络 运 营 者 采取 数据 分 类 、 重 要 数据 备份 和 加 密 等 措施 , 防止 网 络 数据 泄漏 或 者 被 窃取 、 算 改 ， 
加 强 对 公民 个 人 信息 的 保护 ， 防 止 公民 个 人 信息 被 非法 获取 、 泄 露 或 者 非法 使 用 。 要 求 关键 信 
息 基础 设施 的 运营 者 在 中 华人 民 共和 国境 内 存储 公民 个 人 信息 等 重要 数据 ， 因 业务 需要 确 需 向 
境外 提供 的 ， 应 当 按 照 国 家 网 信 部 门 会 同 国务 院 有 关 部 门 制定 的 办 法 进行 安全 评估 ; 法 律 、 行 
政法 规 另 有 规定 的 ， 依 照 其 规定 。 


8. 《网 络 预约 出 租 汽 车 经 营 服务 管理 暂行 办 法 》 


该 办 法 于 2016 年 7 月 由 交通 运输 部 、 工 业 和 信息 化 部 、 公 安 部 、 商 务 部 、 工 商 总 局 、 质 
检 总 局 、 国 家 网 信 办 联合 发 布 ， 明 确 要 求 平台 在 网 络 安全 与 信息 安全 方面 遵守 国家 有 关 规 定 
在 提供 服务 的 过 程 中 采集 的 个 人 信息 和 生成 的 业务 数据 ， 应 当 在 中 国内 地 存储 和 使 用 ， 保 存 期 
限 不 少 于 2 年 ;除法 律 法 规 另 有 规定 外 ， 个 人 信息 与 业务 数据 不 得 外 流 。 


9. 《网 络 出 版 服务 管理 规定 》 

该 规定 由 国家 新 闻 出 版 广电 总 局 、 工 业 和 信息 化 部 公布 ， 于 2016 年 3 月 10 日 起 施行 ， 明 
确 要 求 图 书 、 音 像 、 电 子 、 报 纸 、 期 刊 出 版 单位 必须 将 从 事 网 络 出 版 服务 所 需 的 必要 的 技术 设 
备 、 相 关 服 务 器 和 存储 设备 存放 在 中 华人 民 共 和 国境 内 。 

10. 《人 口 健康 信息 管理 办 法 试行)》 


该 办 法 于 2014 年 由 国家 卫生 计生 委 印 发 ， 规 定 不 得 将 人 口 健康 信息 在 境外 的 服务 器 中 存 
储 ， 不 得 托管 、 租 赁 在 境外 的 服务 器 。 


11.《 保 险 公司 开 业 验 收 指引 》 


该 指引 于 2011 年 由 中 国保 险 监 督 管理 委员 会 印发 ， 要 求 业务 数据 、 财 务 数据 等 重要 数据 
应 存放 在 中 国境 内 ， 且 具有 独立 的 数据 存储 设备 以 及 相应 的 安全 防护 和 异地 备份 措施 。 


12. 《保险 机 构 信息 化 监管 规定 征求 意见 稿 )》 


2015 年 中 国保 险 监督 管理 委员 会 发 布 《保险 机 构 信息 化 监管 规定 〈 征 求 意见 稿 ) 》， 规 定 
数据 来 源 于 中 华人 民 共 和 国境 内 的 ， 数 据 中 心 的 物理 位 置 应 当 位 于 境内 。 外 资 保险 机 构 信息 系 
统 所 载 数据 移 至 中 华人 民 共和 国境 外 的 ， 应 当 符 合 我 国有 关 法 律 法 规 。 

针对 数据 安全 问题 ， 国 际 上 各 个 国家 及 相关 组 织 都 提出 了 相应 管理 规定 。 其中， 欧盟 颁布 
实施 了 《一 般 数 据 保护 法 案 》 (General Data Protection Regulation，GDPR) 。GDPR 对 于 业务 
范围 涉及 欧盟 成 员 国 领土 及 其 公民 的 企业 都 具有 约束 力 。 


图 5co 荐 。 信息 安全 工程 师 教程 第 2 版 ) 


26.1.4 大 数据 安全 需求 分 析 
大 数据 安全 需求 涉及 多 个 方面 ， 主 要 内 容 如 下 。 
1. 大 数据 自身 安全 
大 数据 应 用 依赖 于 可 信 的 数据 。 目 前 ， 基 于 数据 驱动 的 安全 威胁 已 经 出 现 ， 如 虚假 的 数据 可 


以 干扰 机 器 学 习 。 大 数据 安全 涉及 数据 的 采集 、 存 储 、 使 用 、 传 输 、 共 享 、 发 布 、 销 毁 等 全 生命 周 
期 的 多 个 方面 ， 具 体 安全 包括 数据 的 真实 性 、 实 时 性 、 机 密 性 、 完 整 性 、 可 用 性 、 可 追溯 性 。 

2. 大 数据 安全 合 规 

建立 大 数据 安全 合 规 管理 机 制 , 满足 不 同 国家 和 地 区 、 行业 部 门 的 数据 安全 政策 法 规 要 求 。 

3. 大 数据 跨 境 安 全 

随 着 跨 境 电 商 、 跨 境 交 易 等 国际 应 用 发 展 ， 数 据 跨 境 流动 成 为 必然 。 目 前 ， 不 同 国家 和 地 
区 的 数据 保护 法 规 对 数据 跨 境 流动 的 要 求 存在 差异 性 。 例 如 ， 俄 罗斯 明确 提出 俄罗斯 公民 的 数 
据 应 在 俄罗斯 境内 更 新 后 方 可 传 到 海外 进行 处 理 ; 欧盟 颁布 了 《一 般 数据 保护 法 案 》〈General 
Data Protection Regulation，GDPR) 。 数 据 跨 境 安 全 合 规 成 为 国际 业务 必须 解决 的 问题 ， 主 要 
包括 数据 物理 存储 位 置 、 跨 境 数据 流动 安全 要 求 等 。 

4. 大 数据 隐私 保护 

针对 大 数据 涉及 的 敏感 个 人 信息 ， 需 要 相应 的 隐私 保护 技术 ， 防 止 个 人 敏感 数据 泄露 。 

S. 大 数据 处 理 平台 安全 

按照 数据 处 理 过 程 ， 大 数据 处 理 平台 涉及 物理 环境 、 网 络 通信 、 操 作 系 统 、 数 据 库 、 应 用 
系统 、 数 据 存储 。 

6. 大 数据 业务 安全 

大 数据 产业 应 用 的 发 展 促进 了 数据 流动 和 共享 , 需要 新 的 数据 安全 措施 保护 数据 的 安全 流 
动 和 共享 ， 防 止 数 据 扩 散 、 数 据 滥用 问题 。 需 要 部 署 大 数据 业务 安全 管理 措施 ， 建 立 数据 滥用 
监测 机 制 、 数 据 受 控 使 用 机 制 ， 防 止 数据 非法 交易 及 恶意 滥用 。 


7. 大 数据 安全 运营 
建立 大 数据 运营 安全 机 制 , 如 大 数据 分 类 分 级 、 大 数据 安全 服务 、 大 数据 平台 的 安全 维护 。 


26.2 大 数据 安全 保护 机 制 与 技术 方案 


大 数据 被 列 为 网 络 安全 等 级 保护 2.0 的 重要 保护 对 象 ， 本 节 主 要 内 容 是 大 数据 安全 防护 对 
象 ， 主 要 包括 大 数据 自身 及 其 平台 、 业 务 、 隐 私 、 运 营 等 方面 的 安全 保护 技术 。 
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26.2.1 大 数据 安全 保护 机 制 


大 数据 安全 保护 是 一 个 综合 的 、 复 杂 性 的 安全 工程 ， 涉 及 数据 自身 安全 、 数 据 处 理 平台 安 
全 、 数 据 业 务 安全 、 数 据 隐私 安全 、 数 据 运营 安全 以 及 数据 安全 法 律 政策 与 标准 规范 。 围 绕 大 
数据 的 安全 保护 ， 常见 的 基本 安全 机 制 主要 有 数据 分 类 分 级 、 数 据 源 认证 、 数 据 溯源 、 数 据 
用 户 标识 和 鉴别 、 数 据 资源 访问 控制 、 数 据 隐私 保护 、 数 据 备份 与 恢复 、 数 据 安 全 审计 与 监测 、 
数据 安全 管理 等 。 


26.2.2 ”大 数据 自身 安全 保护 技术 


大 数据 自身 安全 是 指 有 关 数 据 本 身 的 安全 问题 ， 如 数据 的 真实 性 、 数 据 的 完整 性 、 数 据 的 
机 密 性 、 数 据 的 准确 性 等 。 目 前 ,数字 签名 可 以 验证 数据 来 源 的 真实 性 ，Hash 算法 用 于 确保 数 
据 的 完整 性 ， 加 密 算法 则 用 来 保护 数据 的 机 密 性 。 


26.2.3 ”大 数据 平台 安全 保护 技术 


大 数据 平台 涉及 物理 环境 、 网 络 通信 、 操 作 系统 、 数 据 库 、 应 用 系统 、 数 据 存储 等 安全 保 
护 。 通 常 采用 安全 分 区 、 防 火 墙 、 系 统 安全 加 固 、 数 据 防 泄露 等 安全 技术 用 于 保护 大 数据 平台 。 
其 中 ， 防 火 墙 又 可 细 分 为 网 络 防火 墙 、 数 据 库 防 火 墙 、 应 用 防火 墙 ， 这 些 防火 墙 分 别 用 于 大 数 
据 平台 的 安全 区 域 之 间隔 离 及 访问 控制 。 
26.2.4 ”大 数据 业务 安全 保护 技术 


大 数据 业务 安全 主要 包括 业务 授权 、 业 务 逻 辑 安全 、 业 务 合 规 性 等 安全 内 容 。 其 中 ， 业 务 
授权 主要 基于 角色 的 访问 控制 技术 ， 按 照 业务 功能 的 执行 所 需要 的 权限 进行 分 配 。 业 务 逻 辑 安 
全 针对 业务 流程 进行 安全 控制 ， 避 免 安 全 缺陷 导致 业务 失控 。 业 务 合 规 性 是 指 业务 满足 政策 法 
规 及 安全 标准 规范 要 求 。 敏 感 数 据 安全 检查 、 系 统 安全 配置 基准 数据 监控 等 技术 常用 于 解决 业 
务 合 规 性 安全 需求 。 


26.2.5 ”大 数据 隐私 安全 保护 技术 

隐私 是 指 与 个 体 相 关 的 非 公 开 的 信息 。 隐 私 保护 成 为 大 数据 时 代 新 的 安全 需求 。 针 对 个 人 
信息 安全 保护 ， 国 家 颁布 了 《信息 安全 技术 个 人 信息 安全 规范 (于 2020 年 10 月 1 日 实施 ) 
等 法 规 政 策 及 标准 规范 。 围 绕 隐私 保护 ， 主 要 的 技术 有 数据 身份 匿名 、 数 据 差分 隐私 、 数 据 脱 
敏 、 数 据 加 密 、 数 据 访问 控制 等 。 
26.2.6 ”大 数据 运营 安全 保护 技术 


大 数据 运营 安全 是 指 大 数据 平台 及 数据 的 运行 维护 及 数据 资源 经 营 过 程 的 安全 。 大 数据 平 
台 及 数据 的 运行 维护 包括 大 数据 处 理 系统 的 安全 维护 、 安 全 策略 更 新 及 安全 设备 配置 、 数 据 资 
源 容 灾 备 份 、 安 全 事件 监测 与 应 急 响 应 等 。 网 络 入 侵 检测 、 网 络 安全 态势 感知 、 网 络 攻击 取证 、 
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网 络 威胁 情报 分 析 、 安 全 堡垒 机 等 技术 常用 于 大 数据 平台 运 维 安全 保护 。 

数据 资源 经 营 过 程 安全 涉及 数据 使 用 、 数 据 交 易 、 数 据 跨 境 流动 等 安全 问题 。 数 据 脱 敏 、 
数据 监控 、 数 据 安全 网 关 等 常用 于 数据 经 营 安全 保护 。 
26.2.7 大 数据 安全 标准 规范 


大 数据 安全 标准 规范 有 利于 提升 数据 安全 整体 保障 能 力 。 全 国信 息 安 全 标准 化 技术 委员 会 在 
2016 年 成 立 大 数据 安全 标准 特别 工作 组 ， 主 要 负责 制定 和 完善 我 国 大 数据 安全 领域 标准 体系 ， 组 织 
开展 大 数据 安全 相关 技术 和 标准 研究 。 目 前 ， 已 制定 的 国家 标准 主要 有 《信息 安全 技术 个 人 信息 安 
全 规范 》《 信 息 安全 技术 大 数据 服务 安全 能 力 要 求 》《 信 息 安全 技术 大 数据 安全 管理 指南 》《 信 息 
安全 技术 数据 交易 服务 安全 要 求 》《 信 息 安全 技术 个 人 信息 去 标识 化 指南 》 等 。 


26.3 ”大 数据 安全 综合 应 用 案例 分 析 


根据 公开 资料 ， 本 节 给 出 大 数据 安全 应 用 的 相关 参考 案例 。 
26.3.1 阿里 巴巴 大 数据 安全 实践 


本 节 内 容 来 自 《 大 数据 安全 标准 化 白皮书 (2018 版 ) 》。 阿 里 巴巴 面向 电 商 行业 提供 的 大 
数据 平台 ， 从 业务 、 数 据 和 生态 三 个 层面 来 保护 数据 安全 与 隐私 ， 如 图 26-1 所 示 。 


服务 闭环 尝 道 闭环 价值 闭环 业务 


型 管控 


数据 
管控 


数据 ISV 的 准 入 与 治理 


26-1 阿里 巴巴 大 数据 安全 体系 架构 示意 图 


1. 业务 安全 管控 
在 业务 模式 设计 上 ， 大 数据 安全 平台 依据 电 商 自身 的 业务 特性 和 其 数据 权 属 关 系 的 边界 ， 
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建立 了 以 私 域 数据 为 基础 的 店铺 内 服务 闭环 、 以 公 域 数据 为 基础 的 平台 内 渠道 闭环 和 价值 闭 
环 ， 从 而 确保 了 业务 整体 对 数据 的 授权 边界 是 合理 清晰 的 、 对 数据 的 处 理 逻 辑 是 基于 可 用 不 可 
见 的 安全 原则 以 及 数据 的 应 用 产 出 是 基于 数据 价值 而 不 是 裸 数据 输出 的 。 


2. 数据 安全 管控 


此 大 数据 安全 平台 基于 数据 业务 链 路 构建 了 全 面 的 数据 管控 体系 ， 主 要 包括 数据 加 工 前 、 
数据 加 工 中 、 数 据 加工 后 、 数 据 合 规 等 方面 的 数据 安全 管控 ， 如 表 26-1 所 示 。 


表 26-1 阿里 巴巴 数据 安全 管控 表 
数据 安全 措施 

数据 来 源 合 法 性 评估 、 数 据 用 途 合理 性 评估 
数据 相关 方 权 属 评估 、 消 费 者 隐私 评估 
商业 秘密 合 规 性 评估 、 数 据 标签 规范 性 管理 
数据 分 级 分 类 的 管理 
多 租户 隔离 控制 、 统 一 元 数据 管理 
数据 探索 容器 、 数 据 建 模 风 控 
数据 脱 敏 控制 、 代 码 可 信和 审核 
数据 画像 风 控 、PI 防护 〈K 匿名 和 差分 ) 
统一 身份 与 鉴 权 、 访 问 监控 与 审计 
数据 血缘 安全 控制 、 数据 营销 渠道 管控 
数据 效果 回流 风 控 、 数 据 染 色 取证 追溯 
数据 加 密 平台 服务 、 数 据 环 境 安 全 容器 


除 此 外 ， 在 数据 合 规 层 ， 实 施 基于 个 人 隐私 保护 的 监管 要 求 、 基 于 ISO 27001 的 管理 要 
求 、 基 于 云 的 安全 控制 要 求 ， 其 中 主要 参考 了 《信息 安全 技术 个 人 信息 安全 规范 (GB/T 35273 一 
2017) 》《 信 息 安全 技术 大 数据 服务 安全 能 力 要 求 《GB/T 35274 一 2017) 》《 信 息 安全 技 
术 云 计 算 服 务 安全 能 力 要 求 (GB/T31168 一 2014) 》 以 及 ISO 27001 系列 标准 进行 实施 。 


3. 生态 安全 管控 


通过 对 数据 ISV 的 准 入 准 出 、 基 于 垂直 化 行业 的 标签 体系 建立 以 及 数据 生态 的 市 场 管 理 
机 制 建立 ， 确 保 业 务 和 安全 间 找 到 有 效 的 平衡 点 。 

阿里 巴巴 形成 了 以 数据 生命 周期 为 中 心 的 大 数据 安全 管理 理念 ， 如 图 26-2 所 示 。 

此 安全 实践 基于 《信息 安全 技术 数据 安全 能 力 成 熟 度 模型 》 来 进行 ， 以 数据 为 中 心 ， 围 
绕 数据 生命 周期 ， 对 组 织 机 构 的 数据 进行 安全 保障 ， 有 效 地 控制 了 数据 安全 风险 ， 提 升 了 公司 
自身 及 生态 伙伴 的 数据 安全 能 力 ， 促 进 了 生态 内 数据 资源 的 流通 与 共享 ， 更 大 地 发 挥 了 数据 的 
价值 。 其 中 ， 数 据 安全 能 力 成 熟 度 模型 从 组 织 建设 、 制 度 流程 、 技 术 工具 、 人 员 能 力 、 数 据 生命 
周期 通用 安全 等 方面 评估 大 数据 安全 能 力 成 熟 度 ， 以 便 明确 大 数据 安全 保障 能 力 的 提升 方向 。 
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围绕 数据 生命 周期 的 大 数据 安全 实践 
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26-2 阿里 巴巴 的 大 数据 生命 周期 安全 实践 示意 图 


26.3.2 ”京东 大 数据 安全 实践 


本 节 内 容 来 自 《 大 数据 安全 标准 化 白皮书 (2017) 》。 如 图 26-3 所 示 ， 京 东 万 象 数据 服 
务 平台 利用 区 块 链 技术 对 流通 的 数据 进行 确 权 溯源 ， 数 据 买 家 在 数据 服务 平台 上 购买 的 每 一 笔 
交易 信息 都 会 在 区 块 链 中 存储 起 来 ， 数 据 买 家 通过 获得 交易 凭证 可 以 看 到 该 笔 交易 的 数字 证 书 
以 及 该 笔 交 易 信 息 在 区 块 链 中 的 存储 地 址 ， 待 买 家 需要 进行 数据 确 权 时 ， 登 录用 户 中 心 进 入 查 
询 平 台 ， 输 入 交易 凭证 中 的 相关 信息 ， 查 询 到 存储 在 区 块 链 中 的 该 笔 交易 信息 ， 从 而 完成 交易 
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图 26-3 京东 万 象 数据 服务 平台 数据 安全 框架 示意 图 
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26.3.3 ”上 海 数据 交易 中 心安 全 保护 

本 节 内 容 来 自 上 海 数据 交易 中 心 网 站 。2017 年 3 月 11 日 ， 国 家 发 展 和 改革 委员 会 正式 批 
复 成 立 “ 大 数据 流通 与 交易 技术 国家 工程 实验 室 ”， 由 上 海 数 据 交 易 中 心 有 限 公 司 作为 牵头 建 
设 单位 ， 其 他 联合 单位 有 复旦 大 学 、 合 肥 工 业 大 学 、 中 国 互联 网 络 信息 中 心 、 中 国信 息 通信 研 


究 院 、 中 国联 通 等 ， 其 组 成 框架 如 图 26-4 所 示 。 


指导 3 理事 季 


图 26-4 大 数据 流通 与 交易 技术 国家 工程 实验 室 组 成 框架 示意 图 


上 海 数据 交易 中 心 数据 生态 体系 建设 如 图 26-5 所 示 ， 为 保护 数据 交易 安全 ， 上 海 数据 交 
易 中 心 制定 规制 + 技术 的 模式 ， 即 交易 规则 和 技术 共同 保障 交易 安全 。 
其 中 ， 公 布 的 上 海 市 数据 交易 准则 有 个 人 数据 保护 原则 、 数 据 互联 规则 、 流 通 数据 处 理 准 
则 、 流 通 数据 禁止 清单 、 交 易 要 素 标准 体系 。 
个 人 数据 保护 原则 的 主要 内 容 如 下 : 
。 ”告知 同意 原则 。 初 始 收集 的 数据 被 再 次 使 用 或 再 处 理 时 ， 如 果 再 使 用 的 目的 与 初始 目 
的 不 一 致 的 ， 则 须 告知 数据 主体 并 取得 其 同意 。 如 果 数 据 主体 不 同意 的 ， 不 得 对 该 个 
人 数据 进行 任何 使 用 或 处 理 。 
。 ”禁止 公开 原则 。 在 任何 情形 下 均 不 得 擅自 公开 、 向 第 三 人 提供 带 有 身份 标识 的 个 人 数据 。 
。 ”选择 退出 原则 。 任 何 使 用 个 人 数据 进行 的 推销 、 推 介 和 广告 活动 ， 应 当 给 予 接受 人 以 
退出 选择 。 
。 数据 正确 原则 。 数 据 持 有 人 应 使 个 人 数据 符合 处 理 目 的 的 要 求 ， 必 要 时 及 时 更 新 和 


更 正 。 


。 ”维护 权益 原则 。 成 员 应 设立 个 人 隐私 投诉 机 制 ， 积 极 响应 和 解决 个 人 投诉 。 
。 ”应 急 补救 原则 。 一 旦 出 现 个 人 数据 泄露 事故 ， 成 员 应 当 及 时 通知 有 关 个 人 并 采取 补救 
省 施 ， 在 隐私 地 位 无 法 恢复 时 应 及 时 给 予 赔偿 。 


流通 数据 处 百 


基本 原则 主要 如 下 : 


。 保护 个 人 权益 原则 。 保 护 个 人 隐私 和 其 他 合法 权益 。 
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。 ”诚实 守信 原则。 遵守 各 种 自律 规范 ， 忠 实 履行 承诺 和 协议 。 
。 ”保护 正当 数据 权益 原则 。 尊 重 他 人 的 数据 收集 和 处 理 劳 动 成 果 ， 维 护 公平 的 数据 利用 


秩序 。 
。 ”数据 安全 原则 。 保 障 数 据 收集 、 存 储 、 传 输 和 使 用 各 个 环节 的 安全 ， 防 范 数据 泄露 的 
风险 。 
数据 应 用 
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朗 四 研究 机 经 纪 
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数据 互联 市 场 


{ 法 律 法 规 流通 规范 jf 行业 标准 


四 一 一 和 一 人 一 人 一 


图 26-5 上 海 数据 交易 中 心 数 据 生态 体系 示意 图 


流通 数据 禁止 清单 针对 的 是 危害 国家 安全 和 社会 稳定 的 、 涉 及 特定 个 人 权益 的 、 涉 及 特定 
企业 权益 的 数据 。 


26.3.4 ”华为 大 数据 安全 实践 


本 节 内 容 来 自 《 大 数据 安全 标准 化 白皮书 (2017) 》 。 华 为 大 数据 分 析 平 台 FusionInsight 
基于 开源 社区 软件 Hadoop 进行 功能 增强 ， 提 供 企业 级 大 数据 存储 、 查 询 和 分 析 的 统一 平台 。 
台 的 安全 措施 主要 分 析 如 下 。 


1. 网 络 安全 
FusionInsight 集群 支持 通过 网 络 平面 隔离 的 方式 保证 网 络 安全 。 
2. 主机 安全 


通过 对 FusionInsight 集群 内 节点 的 操作 系统 安全 加 固 等 手段 保证 节点 正常 运行 , 包括 更 新 
最 新 补丁 、 操 作 系统 内 核 安 全 加 固 、 操 作 系统 权限 控制 、 端 口 管理 、 部 署 防 病 毒 软件 等 。 
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3. 用 户 安全 


平台 提供 身份 认证 、 权 限 控制 、 审 计 控制 等 安全 措施 ， 防 止 用 户 假 冒 、 越 权 、 恶 意 操作 等 
安全 威胁 。 其 中 ，FusionInsight 的 身份 认证 使 用 LDAP 作为 账户 管理 系统 ， 并 通过 Kerberos 对 
账户 信息 进行 安全 认证 ; 权限 控制 基于 用 户 和 角色 的 认证 统一 体系 ， 遵 从 账户 /角色 RBAC ( 基 
于 角色 的 访问 控制 ) 模型， 实现 通过 角色 进行 权限 管理 ， 对 用 户 进行 批量 授权 管理 ， 降 低 集群 
的 管理 难度 ，FusionInsight 审计 日 志 中 记录 了 用 户 操作 信息 ， 可 以 快速 定位 系统 是 否 遭 受 恶意 
的 操作 和 攻击 。 


4. 数据 安全 
平台 提供 集群 容 灾 、 备 份 、 数 据 完整 性 、 数 据 保密 性 等 安全 服务 ， 以 保证 用 户 数据 的 安全 。 
26.3.5 ”科学 数据 安全 管理 


《科学 数据 管理 办 法 》 由 国务 院 办 公 厅 印发 ， 该 办 法 提出 了 科学 数据 安全 和 保密 管理 的 要 
求 ， 部 分 具体 要 求 如 下 : 

。 ”第 二 十 五 条 涉及 国家 秘密 、 国 家 安全 、 社 会 公共 利益 、 商 业 秘密 和 个 人 隐私 的 科学 
数据 ， 不 得 对 外 开放 共享 ， 确 需 对 外 开放 的 ， 要 对 利用 目的 、 用 户 资质 、 保 密 条 件 等 
进行 审查 ， 并 严格 控制 知悉 范围 。 

。 第 二 十 六 条 涉及 国家 秘密 的 科学 数据 的 采集 生产 、 加 工整 理 、 管 理 和 使 用 ， 按 照 国 
家 有 关 保 密 规 定 执行 。 主 管 部 门 和 法 人 单位 应 建立 健全 涉及 国家 秘密 的 科学 数据 管理 
与 使 用 制度 ， 对 制作 、 审 核 、 登 记 、 拷 贝 、 传 输 、 销 毁 等 环节 进行 严格 管理 。 对 外 交 
往 与 合作 中 需要 提供 涉及 国家 秘密 的 科学 数据 的 ， 法 人 单位 应 明确 提出 利用 数据 的 类 
别 、 范 围 及 用 途 ， 按 照 保 密 管 理 规定 程序 报 主管 部 门 批准 。 经 主管 部 门 批准 后 ， 法 人 
单位 按 规定 办 理 相 关 手 续 并 与 用 户 签订 保密 协议 。 

。 ”第 二 十 七 条 主管 部 门 和 法 人 单位 应 加 强 科 学 数据 全 生命 周期 安全 管理 ， 制 定 科学 数 
据 安全 保护 措施 ， 加 强 数据 下 载 的 认证 、 授 权 等 防护 管理 ， 防 止 数据 被 恶意 使 用 。 对 
于 需 对 外 公布 的 科学 数据 开放 目录 或 需 对 外 提供 的 科学 数据 ， 主 管 部 门 和 法 人 单位 应 
建立 相应 的 安全 保密 审查 制度 。 

。 第 二 十 八条 法 人 单位 和 科学 数据 中 心 应 按照 国家 网 络 安全 管理 规定 ， 建 立 网 络 安全 
保障 体系 ， 采 用 安全 可 靠 的 产品 和 服务 ， 完 善 数据 管控 、 属 性 管理 、 身 份 识别 、 行 为 
追溯 、 黑 名 单 等 管理 措施 ， 健 全 防 算 改 、 防 泄露 、 防 攻击 、 防 病毒 等 安全 防护 体系 。 

。 第 二 十 九条 科学 数据 中 心 应 建立 应 急 管理 和 容 灾 备份 机 制 ， 按 照 要 求 建 立 应 急 管理 
系统 ， 对 重要 的 科学 数据 进行 异地 备份 。 
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26.3.6 ”支付 卡 行业 数据 安全 规范 


在 国际 上 ， 支 付 卡 行业 数据 安全 标准 (PCI-DSS) 是 PCI 安全 标准 委员 会 制定 的 数据 安 
全 规范 。PCI 一 DSS 的 规范 目标 在 于 严格 控制 对 支付 卡 持 卡 人 数据 的 处 理 、 存 储 和 传输 ， 以 保 
障 银行 卡 用 户 在 线 交 易 的 安全 。PCI 一 DSS 按 每 年 交易 量 将 商家 分 为 四 个 等 级 ， 对 不 同等 级 的 
商家 提出 不 同 强 度 的 安全 要 求 。 PCI 一 DSS 适用 于 所 有 涉及 信用 卡 支付 的 企业 。PCI 一 DSS 包括 
以 下 6 大 类 要 求 : 

。 ”构建 和 维护 安全 的 网 络 ; 

。 ”保护 持 卡 人 数据 ; 

。 ”维护 漏洞 管理 程序 ; 

。 ”实施 严格 的 存储 控制 措施 ; 

。 ”定期 监控 和 测试 网 络 ; 

。 维护 信息 安全 策略 。 


26.4 本章 小 结 


本 章 首先 阐述 了 大 数据 的 概念 及 相关 安全 威胁 、 安 全 政策 法 规 和 安全 需求 ; 然后 给 出 了 大 
数据 常见 的 安全 机 制 ， 主 要 包括 数据 分 类 分 级 、 数 据 源 认 证 、 数 据 溯源 、 数 据 用 户 标识 和 鉴别 、 
数据 资源 访问 控制 、 数 据 隐私 保护 、 数 据 备 份 与 恢复 、 数 据 安全 审计 与 监测 、 数 据 安 全 管理 ， 
并 重点 分 析 了 大 数据 自身 安全 保护 、 平 台 安全 保护 、 业 务 安全 保护 、 隐 私 安全 保护 、 运 营 安全 
保护 以 及 安全 标准 规范 ; 最 后 给 出 了 阿里 巴巴 大 数据 安全 实践 、 京 东 大 数据 安全 实践 、 上 海 数 
据 交 易 中 心安 全 保护 、 华 为 大 数据 安全 实践 、 科 学 数据 安全 管理 、 支 付 卡 行业 数据 安全 规范 等 
大 数据 安全 实现 案例 。 


四 ”附录 A 网 络 安全 产品 测评 “ 三 


0 


相关 标准 


GB/T 17900 一 1999《 网 络 代理 服务 器 的 安全 技术 要 求 》 

GB/T 18018 一 2019《 信 息 安 全 技术 路 由 器 安全 技术 要 求 》 
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GB/T 20272 一 2019《 信 息 安全 技术 操作 系统 安全 技术 要 求 》 

GB/T 20273 一 2019《 信 息 安全 技术 数据 库 管 理 系统 安全 技术 要 求 》 

GB/T 20275 一 2013《 信 息 安 全 技术 网 络 入 侵 检 测 系统 技术 要 求 和 测试 评价 方法 》 
GB/T 20276 一 2016《 信 息 安全 技术 具有 中 央 处 理 器 的 IC 卡 嵌 入 式 软件 安全 技术 要 求 》 


. GB/T 20278 一 2013《 信 息 安全 技术 网 络 脆弱 性 扫描 产品 安全 技术 要 求 》 

. GB/T 20279 一 2015《 信 息 安全 技术 网 络 和 终端 隔离 产品 安全 技术 要 求 》 

. GB/T 20281 一 2015《 信 息 安全 技术 防火 墙 安全 技术 要 求 和 测试 评价 方法 》 

. GB/T 20518 一 2018《 信 息 安全 技术 公 钥 基础 设施 数字 证 书 格式 》 

. GB/T 20520 一 2006《 信 息 安全 技术 公 钥 基础 设施 时 间 戳 规范 》 

. GB/T 20945 一 2013《 信 息 安全 技术 信息 系统 安全 审计 产品 技术 要 求 和 测试 评价 方法 》 
. GB/T 21028 一 2007《 信 息 安全 技术 服务 器 安全 技术 要 求 》 

. GB/T 21053 一 2007《 信 息 安全 技术 公 钥 基础 设施 PKI 系统 安全 等 级 保护 技术 要 求 》 
. GB/T 22186 一 2016《 信 息 安全 技术 具有 中 央 处 理 器 的 IC 卡 芯 片 安全 技术 要 求 》 

. GB/T 28451 一 2012《 信 息 安全 技术 网 络 型 入 侵 防御 产品 技术 要 求 和 测试 评价 方法 》 
. GB/T 29244 一 2012《 信 息 安全 技术 办 公设 备 基本 安全 要 求 》 

. GB/T 29765 一 2013《 信 息 安全 技术 数据 备份 与 恢复 产品 技术 要 求 与 测试 评价 方法 》 
.GB/T 29766 一 2013《 信 息 安全 技术 网 站 数据 恢复 产品 技术 要 求 与 测试 评价 方法 》 

. GB/T 30272 一 2013《 信 息 安全 技术 公 钥 基础 设施 标准 一 致 性 测试 评价 指南 》 

. GB/T 30282 一 2013《 信 息 安全 技术 反 垃 圾 邮件 产品 技术 要 求 和 测试 评价 方法 》 

. GB/T 31499 一 2015《 信 息 安 全 技术 统一 威胁 管理 产品 技术 要 求 和 测试 评价 方法 》 
.GB/T 31505 一 2015《 信 息 安 全 技术 主机 型 防火 墙 安全 技术 要 求 和 测试 评价 方法 》 
.GB/T 32917 一 2016《 信 息 安全 技术 WEB 应 用 防火 墙 安全 技术 要 求 与 测试 评价 方法 》 
.GA 216.1 一 1999《 计 算 机 信息 系统 安全 产品 部 件 第 1 部 分 : 安全 功能 检测 》 
，GAT 403.2 一 2014《 信 息 安 全 技术 入 侵 检 测 产品 安全 技术 要 求 第 2 部 分 : 主机 型 产品 》 
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GA/T 681 一 2018《 信 息 安全 技术 网 关 安 全 技术 要 求 》 

GA/T 684 一 2007《 信 息 安全 技术 交换 机 安全 技术 要 求 》 

GA/T 686 一 2018《 信 息 安 全 技术 虚拟 专用 网 产品 安全 技术 要 求 》 

GA/T 698 一 2014《 信 息 安全 技术 信息 过 滤 产 品 技术 要 求 》 

GA/T 754 一 2008《 电 子 数据 存储 介质 复制 工具 要 求 及 检测 方法 》 

GA/T 755 一 2008《 电 子 数据 存储 介质 写 保护 设备 要 求 及 检测 方法 》 

GA/T 910 一 2010《 信 息 安全 技术 内 网 主机 监测 产品 安全 技术 要 求 》 
GA/T 911 一 2019《 信 息 安全 技术 日 志 分 析 产 品 安全 技术 要 求 》 

GAMT 912 一 2018《 信 息 安全 技术 数据 泄露 防护 产品 安全 技术 要 求 》 
GA/T 913 一 2019《 信 息 安全 技术 数据 库 安 全 审计 产品 安全 技术 要 求 》 
GA/T 987 一 2019《 信 息 安全 技术 USB 移动 存储 介质 管理 系统 安全 技术 要 求 》 
GA/T 988 一 2012《 信 息 安全 技术 文件 加 密 产 品 安全 技术 要 求 》 

GA/T 989 一 2012《 信 息 安全 技术 电子 文档 安全 管理 产品 安全 技术 要 求 》 
GA/T 1105 一 2013《 信 息 安全 技术 终端 接 入 控制 产品 安全 技术 要 求 》 
GA/T 1106 一 2013《 信 息 安全 技术 电子 签 章 产品 安全 技术 要 求 》 

GA/T 1107 一 2013《 信 息 安全 技术 web 应 用 安全 扫描 产品 安全 技术 要 求 》 
GAT 1137 一 2014《 信 息 安全 技术 抗拒 绝 服务 攻击 产品 安全 技术 要 求 》 
GA/T 1138 一 2014《 信 息 安全 技术 主机 资源 访问 控制 产品 安全 技术 要 求 》 
GA/T 1139 一 2014《 信 息 安全 技术 数据 库 扫描 产品 安全 技术 要 求 》 

GA/T 1142 一 2014《 信 息 安 全 技术 主机 安全 检查 产品 安全 技术 要 求 》 
GA/T 1143 一 2014《 信 息 安 全 技术 数据 销毁 软件 产品 安全 技术 要 求 》 
GA/T 1144 一 2014《 信 息 安 全 技术 非 授 权 外 联 监测 产品 安全 技术 要 求 》 
GA/T 1177 一 2014《 信 息 安全 技术 第 二 代 防 火 墙 安全 技术 要 求 》 

GA/T 1346 一 2017《 信 息 安全 技术 云 操作 系统 安全 技术 要 求 》 

GA/T 1347 一 2017《 信 息 安全 技术 云 存 储 系统 安全 技术 要 求 》 

GA/T 1348 一 2017《 信 息 安全 技术 桌面 云 系 统 安全 技术 要 求 》 

GA/T 1350 一 2017《 信 息 安全 技术 工业 控制 系统 安全 管理 平台 安全 技术 要 求 》 
GAMT 1358 一 2018《 信 息 安全 技术 网 页 防 算 改 产品 安全 技术 要 求 》 

GA/T 1359 一 2018《 信 息 安 全 技术 信息 资产 安全 管理 产品 安全 技术 要 求 》 
GA/T 1392 一 2017《 信 息 安全 技术 主机 文件 监测 产品 安全 技术 要 求 》 
GA/T 1393 一 2017 《信息 安全 技术 主机 安全 加 固 系统 安全 技术 要 求 》 
GA/T 1394 一 2017《 信 息 安全 技术 运 维 安全 管理 产品 安全 技术 要 求 》 
GA/T 1396 一 2017《 信 息 安全 技术 网 站 内 容 安 全 检查 产品 安全 技术 要 求 》 
GA/T 1397 一 2017《 信 息 安 全 技术 远程 接 入 控制 产品 安全 技术 要 求 》 
GAMT 1398 一 2017 《信息 安全 技术 文档 打印 安全 监控 与 审计 产品 安全 技术 要 求 》 
GA/T 1454 一 2018《 信 息 安全 技术 网 络 型 流量 控制 产品 安全 技术 要 求 》 


下 附录 B 公共 互联 网 网 络 安全 基 
突 发 事件 应 急 预 案 


1. 总 则 


1.1 编制 目的 


建立 健全 公共 互联 网 网 络 安全 突 发 事件 应 急 组 织 体系 和 工作 机 制 ， 提 高 公共 互联 网 网 络 安 
全 突 发 事件 综合 应 对 能 力 ， 确 保 及 时 有 效 地 控制 、 减 轻 和 消除 公共 互联 网 网 络 安全 突 发 事件 造 
成 的 社会 危害 和 损失 ， 保 证 公共 互联 网 持续 稳定 运行 和 数据 安全 ， 维 护 国家 网 络 空间 安全 ， 保 
障 经 济 运行 和 社会 秩序 。 


1.2 编制 依据 


《中 华人 民 共和 国 突 发 事件 应 对 法 》《 中 华人 民 共和 国 网 络 安全 法 》《 中 华人 民 共和 国电 
信条 例 》 等 法 律 法 规 和 《国家 突 发 公共 事件 总 体 应 急 预 案 》 《国家 网 络 安全 事件 应 急 预 案 》 等 
相关 规定 。 


1.3 ”适用 范围 


本 预案 适用 于 面向 社会 提供 服务 的 基础 电信 企业 、 域 名 注册 管理 和 服务 机 构 ( 以 下 简称 域 
名 机 构 )、 互 联网 企业 ( 含 工业 互联 网 平台 企业 ) 发 生 网 络 安 全 突 发 事件 的 应 对 工作 。 

本 预案 所 称 网 络 安全 突 发 事件 ， 是 指 突然 发 生 的 ， 由 网 络 攻击 、 网 络 入 侵 、 恶 意 程序 等 导 
致 的 ， 造 成 或 可 能 造成 严重 社会 危害 或 影响 ， 需 要 电信 主管 部 门 组 织 采 取 应 急 处 置 措施 予以 应 
对 的 网 络 中 断 〈 拥 塞 》、 系 统 瘫痪 〈 异 常 ) 、 数 据 泄露 丢失) 、 病 毒 传播 等 事件 。 

本 预案 所 称 电信 主管 部 门 包括 工业 和 信息 化 部 及 各 省 自治 区 、 直 辖 市 ) 通信 管理 局 。 

工业 和 信息 化 部 对 国家 重大 活动 期 间 网 络 安全 突 发 事件 应 对 工作 另 有 规定 的 ， 从 其 规定 。 


1.4 工作 原则 


公共 互联 网 网 络 安全 突 发 事件 应 急 工作 坚持 统一 领导 、 分 级 负责 ; 坚持 统一 指挥 、 密 切 协 
同 、 快 速 反 应 、 科 学 处 置 ; 坚持 预防 为 主 ， 预 防 与 应 急 相 结合 ; 落实 基础 电信 企业 、 域 名 机 构 、 
互联 网 服务 提供 者 的 主体 责任 ， 充 分 发 挥 网 络 安全 专业 机 构 、 网 络 安全 企业 和 专家 学 者 等 各 方 
面 力量 的 作用 。 
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2. 组 织 体系 


2.1 领导 机 构 与 职责 


在 中 央 网 信 办 统筹 协调 下 ， 工 业 和 信息 化 部 网 络 安全 和 信息 化 领导 小 组 (以 下 简称 部 领导 
小 组 ) 统一 领导 公共 互联 网 网 络 安全 突 发 事件 应 急 管理 工作 ， 人 负责 特 别 重大 公共 互联 网 网 络 安 
全 突 发 事件 的 统一 指挥 和 协调 。 


2.2 ”办事 机 构 与 职责 


在 中 央 网 信 办 下 设 的 国家 网 络 安全 应 急 办 公 室 统筹 协调 下 ， 在 部 领导 小 组 统一 领导 下 ， 工 
业 和 信息 化 部 网 络 安全 应 急 办 公 室 〈 以 下 简称 部 应 急 办 ) 负责 公共 互联 网 网 络 安全 应 急 管理 事 
务 性 工作 ;及 时 向 部 领导 小 组 报告 突 发 事件 情况 ， 提 出 特别 重大 网 络 安全 突 发 事件 应 对 措施 建 
议 ; 负责 重大 网 络 安全 突 发 事件 的 统一 指挥 和 协调 ;根据 需要 协调 较 大 、 一 般 网 络 安全 突 发 事 
件 应 对 工作 。 

部 应 急 办 具体 工作 由 工业 和 信息 化 部 网 络 安全 管理 局 承担 ， 有 关 单 位 明确 负责 人 和 联络 员 
参与 部 应 急 办 工作 。 


2.3 ”其 他 相关 单位 职责 


各 省 自治区、 直辖 市 ) 通信 管理 局 负责 组 织 、 指 挥 、 协 调 本 行政 区 域 相关 单位 开展 公共 
互联 网 网 络 安全 突 发 事件 的 预防 、 监 测 、 报 告 和 应 急 处 置 工作 。 

基础 电信 企业 、 域 名 机 构 、 互 联网 企业 负责 本 单位 网 络 安全 突 发 事件 预防 、 监 测 、 报 告 和 
应 急 处 置 工作 ， 为 其 他 单位 的 网 络 安全 突 发 事件 应 对 提供 技术 支持 。 
国家 计算 机 网 络 应 急 技术 处 理 协调 中 心 、 中 国信 息 通 信 研 究 院 、 中 国 软件 评测 中 心 、 国 家 
工业 信息 安全 发 展 研究 中 心 〈 以 下 统称 网 络 安全 专业 机 构 ) 负责 监测 、 报 告 公共 互联 网 网 络 安 
全 突 发 事件 和 预警 信息 ， 为 应 急 工作 提供 决策 支持 和 技术 支撑 。 

鼓励 网 络 安全 企业 支撑 参与 公共 互联 网 网 络 安全 突 发 事件 应 对 工作 。 


3. 事件 分 级 

根据 社会 影响 范围 和 危害 程度 ， 公 共 互 联网 网 络 安全 突 发 事件 分 为 四 级 : 特别 重大 事件 、 
重大 事件 、 较 大 事件 、 一 般 事件 。 

3.1 ”特别 重大 事件 

符合 下 列 情形 之 一 的 ， 为 特别 重大 网 络 安全 事件 : 

(1) 全 国 范围 大 量 互联 网 用 户 无 法 正常 上 网 ， 


(2) .CN 国家 顶级 域名 系统 解析 效率 大 幅 下 降 
(3) 1 亿 以 上 互联 网 用 户 信息 泄露 ; 
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(4) 网 络 病毒 在 全 国 范围 大 面积 爆发 ; 
(5) 其 他 造成 或 可 能 造成 特别 重大 危害 或 影响 的 网 络 安全 事件 。 


3.2 ”重大 事件 


符合 下 列 情形 之 一 的 ， 为 重大 网 络 安全 事件 : 

(1) 多 个 省 大 量 互联 网 用 户 无 法 正常 上 网 ; 

(2) 在 全 国 范围 有 影响 力 的 网 站 或 平台 访问 出 现 严重 异常 ; 
(3) 大 型 域名 解析 系统 访问 出 现 严重 异常 

(4) 1 千 万 以 上 互联 网 用 户 信息 泄露 ; 

(5) 网 络 病毒 在 多 个 省 范围 内 大 面积 爆发 

(6) 其 他 造成 或 可 能 造成 重大 危害 或 影响 的 网 络 安全 事件 。 


3.3” 较 大 事件 


符合 下 列 情形 之 一 的 ， 为 较 大 网 络 安全 事件 : 

(1) 1 个 省 内 大 量 互联 网 用 户 无 法 正常 上 网 ; 

(2) 在 省 内 有 影响 力 的 网 站 或 平台 访问 出 现 严 重 异 常 ; 
(3) 1 百 万 以 上 互联 网 用 户 信息 泄露 ; 

(4) 网 络 病毒 在 1 个 省 范围 内 大 面积 爆发 

(5) 其 他 造成 或 可 能 造成 较 大 危害 或 影响 的 网 络 安全 事件 。 


3.4 ”一般 事件 


符合 下 列 情形 之 一 的 ， 为 一 般 网 络 安全 事件 : 

(1) 1 个 地 市 大 量 互 联网 用 户 无 法 正常 上 网 ; 

(2) 10 万 以 上 互联 网 用 户 信息 泄露 ; 

(3) 其 他 造成 或 可 能 造成 一 般 危 害 或 影响 的 网 络 安全 事件 。 


4. 监测 预 等 


4.1 事件 监测 


基础 电信 企业 、 域名 机 构 、 互 联网 企业 应 当 对 本 单位 网 络 和 系统 的 运行 状况 进行 密切 监测 ， 
一 旦 发 生 本 预案 规定 的 网 络 安全 突 发 事件 ， 应 当 立 即 通 过 电话 等 方式 向 部 应 急 办 和 相关 省 ( 自 
治 区 、 直 辖 市 ) 通信 管理 局 报告 ， 不 得 迟 报 、 谎 报 、 瞒 报 、 漏 报 。 

网 络 安全 专业 机 构 、 网 络 安全 企业 应 当 通过 多 种 途径 监测 、 收 集 已 经 发 生 的 公共 互联 网 网 
络 安全 突 发 事件 信息 ， 并 及 时 向 部 应 急 办 和 相关 省 〈 自 治 区 、 直 辖 市 ) 通信 管理 局 报告 。 

告 突 发 事件 信息 时 ， 应 当 说 明 事 件 发 生 时 间 、 初 步 判 定 的 影响 范围 和 危害 、 已 采取 的 应 
急 处 置 措施 和 有 关 建 议 。 
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4.2 ”预警 监测 


基础 电信 企业 、 域 名 机 构 、 互 联网 企业 、 网 络 安全 专业 机 构 、 网 络 安全 企业 应 当 通过 多 种 
途径 监测 、 收 集 漏洞 、 病 毒 、 网 络 攻击 最 新 动向 等 网 络 安全 隐患 和 预警 信息 ， 对 发 生 突 发 事件 
的 可 能 性 及 其 可 能 造成 的 影响 进行 分 析 评 估 ; 认为 可 能 发 生 特别 重大 或 重大 突 发 事件 的 ， 应 当 
立即 向 部 应 急 办 报告 ， 认 为 可 能 发 生 较 大 或 一 般 突 发 事件 的 ， 应 当 立 即 向 相关 省 (自治 区 、 直 
辖 市 ) 通信 管理 局 报告 。 


4.3 ”预警 分 级 


建立 公共 互联 网 网 络 突 发 事件 预警 制度 , 按照 紧急 程度 、 发 展 态势 和 可 能 造成 的 危害 程度 ， 
公共 互联 网 网 络 突 发 事件 预警 等 级 分 为 四 级 : 由 高 到 低 依次 用 红色 、 禁 色 、 黄 色 和 蓝 色 标示 
分 别 对 应 可 能 发 生 特别 重大 、 重 大 、 较 大 和 一 般 网 络 安全 突 发 事件 。 


4.4 预警 发 布 


部 应 急 办 和 各 省 〈 自 治 区 、 直 辖 市 ) 通信 管理 局 应 当 及 时 汇总 分 析 突 发 事件 隐患 和 预警 信 
息 ， 必 要 时 组 织 相 关 单位 、 专 业 技术 人 员 、 专 家 学 者 进行 会 商 研判 。 

认为 需要 发 布 红色 预警 的 ， 由 部 应 急 办 报国 家 网 络 安全 应 急 办 公 室 统一 发 布 〈 或 转发 国家 
网 络 安全 应 急 办 公 室 发 布 的 红色 预警 ) ， 并 报 部 领导 小 组 ， 认 为 需要 发 布 橙色 预警 的 ， 由 部 应 
急 办 统一 发 布 , 并 报国 家 网 络 安全 应 急 办 公 室 和 部 领导 小 组 ; 认为 需要 发 布 黄色 、 蓝 色 预 警 的 ， 
相关 省 (自治 区 、 直 辖 市 ) 通信 管理 局 可 在 本 行政 区 域内 发 布 ， 并 报 部 应 急 办 ， 同 时 通报 地 方 
相关 部 门 。 对 达 不 到 预警 级 别 但 又 需要 发 布 警示 信息 的 ， 部 应 急 办 和 各 省 〈 自 治 区 、 直 辖 市 ) 
通信 管理 局 可 以 发 布 风险 提示 信息 。 

发 布 预警 信息 时 ， 应 当 包括 预警 级 别 、 起 始 时 间 、 可 能 的 影响 范围 和 造成 的 危害 、 应 采取 
的 防范 措施 、 时 限 要 求 和 发 布 机 关 等 ， 并 公布 咨询 电话 。 面 向 社会 发 布 预警 信息 可 通过 网 站 、 
短信 、 微 信 等 多 种 形式 。 


4.5 ”预警 响应 


4.5.1 黄色 、 蓝 色 预 警 响应 

发 布 黄色 、 蓝 色 预 警 后 ， 相 关 省 〈 自 治 区 、 直 辖 市 ) 通信 管理 局 应 当 针对 即将 发 生 的 网 络 
安全 突 发 事件 的 特点 和 可 能 造成 的 危害 ， 采 取 下 列 措施 

(1) 要 求 有 关 单位 、 机 构 和 人 员 及 时 收集 、 报 告 有 关 信息 ， 加 强 网 络 安全 风险 的 监测 ; 

(2) 组 织 有 关 单 位 、 机 构 和 人 员 加 强 事态 跟踪 分 析 评估 ， 密 切 关注 事态 发 展 ， 重 要 情况 报 
部 应 急 办 ; 

(3) 及 时 宣传 避免 、 减 轻 危害 的 措施 ， 公 布 咨询 电话 ， 并 对 相关 信息 的 报道 工作 进行 正确 引导 。 

4.5.2 ”红色 、 检 色 预 警 响 应 

发 布 红色 、 橙 色 预 警 后 ， 部 应 急 办 除 采取 黄色 、 蓝 色 预 警 响应 措施 外 ， 还 应 当 针 对 即将 发 


附录 B ”公共 互联 网 网 络 安全 突 发 事件 应 急 预 案 “ 国 575 荐 


生 的 网 络 安全 突 发 事件 的 特点 和 可 能 造成 的 危害 ， 采 取 下 列 措施 : 

(1) 要 求 各 相关 单位 实行 24 小 时 值班 ， 相 关 人 员 保 持 通信 联络 畅通 ; 

(2) 组 织 研究 制定 防范 措施 和 应 急 工作 方案 ， 协 调调 度 各 方 资源 ， 做 好 各 项 准备 工作 ， 重 
要 情况 报 部 领导 小 组 ; 

(3) 组 织 有 关 单 位 加 强 对 重要 网 络 、 系 统 的 网 络 安全 防护 ; 

(4) 要 求 相关 网 络 安全 专业 机 构 、 网 络 安全 企业 进入 待命 状态 ， 针 对 预警 信息 研究 制定 应 
对 方案 ， 检 查 应 急 设 备 、 软 件 工具 等 ， 确 保 处 于 良好 状态 。 


4.6 ”预警 解除 


部 应 急 办 和 省 〈 自 治 区 、 直 辖 市 ) 通信 管理 局 发 布 预警 后 ， 应 当 根据 事态 发 展 ， 适 时 调整 
预警 级 别 并 按照 权限 重新 发 布 ， 经 研判 不 可 能 发 生 突 发 事件 或 风险 已 经 解除 的 ， 应 当 及 时 宣布 
解除 预警 ， 并 解除 已 经 采取 的 有 关 措 施 。 相 关 省 ( 自治区、 直辖市) 通信 管理 局 解除 黄色 、 蓝 
色 预 警 后 ， 应 及 时 向 部 应 急 办 报告 。 


5. 应 急 处 置 


$.1 响应 分 级 


公共 互联 网 网 络 安全 突 发 事件 应 急 响 应 分 为 四 级 : 工 级 、 开 级 、 匡 级 、IV 级 ， 分 别 对 应 已 
经 发 生 的 特别 重大 、 重 大 、 较 大 、 一 般 事件 的 应 急 响 应 。 


$.2 ”先行 处 置 


公共 互联 网 网 络 安全 突 发 事件 发 生 后 , 事 发 单位 在 按照 本 预案 规定 立即 向 电信 主管 部 门 报 
告 的 同时 , 应 当 立 即 启动 本 单位 应 急 预 案 , 组 织 本 单位 应 急 队 伍 和 工作 人 员 采 取 应 急 处 置 措施 ， 
尽 最 大 努力 恢复 网 络 和 系统 运行 ， 尽 可 能 减少 对 用 户 和 社会 的 影响 ， 同 时 注意 保存 网 络 攻击 、 
网 络 入 侵 或 网 络 病毒 的 证 据 。 


5.3 ”启动 响应 


I 级 响应 根据 国家 有 关 决 定 或 经 部 领导 小 组 批准 后 启动 ， 由 部 领导 小 组 统一 指挥 、 协 调 。 

开 级 响应 由 部 应 急 办 决定 启动 ， 由 部 应 急 办 统一 指挥 、 协 调 。 

贡 级 、IV 级 响应 由 相关 省 〈 自 治 区 、 直 辖 市 ) 通信 管理 局 决定 启动 ， 并 负责 指挥 、 协 调 。 

启动 1 级 、 本 级 响应 后 , 部 应 急 办 立即 将 突 发 事件 情况 向 国家 网 络 安全 应 急 办 公 室 等 报告 ， 
部 应 急 办 和 相关 单位 进入 应 急 状态 ， 实 行 24 小 时 值班 ， 相 关 人 员 保持 联络 畅通 ， 相 关 单 位 派 
员 参 加 部 应 急 办 工作 ， 视 情 在 部 应 急 办 设立 应 急 恢 复 、 攻 击 渊源、 影响 评估 、 信 息 发 布 、 跨 部 
门 协调 、 国 际 协调 等 工作 组 。 

启动 IJ 级 、IV 级 响应 后 ， 相 关 省 〈 自 治 区 、 直 辖 市 ) 通信 管理 局 应 及 时 将 相关 情况 报 部 应 
急 办 。 
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5.4 事态 跟踪 


启动 工 级 、 开 级 响应 后 , 事 发 单位 和 网 络 安全 专业 机 构 、 网 络 安全 企业 应 当 持续 加 强 监测 ， 
跟踪 事态 发 展 ， 检 查 影响 范围 ， 密 切 关 注 与 情 ， 及 时 将 事态 发 展 变化 、 处 置 进 展 情 况 、 相 关 和 与 
情报 部 应 急 办 。 省 〈 自 治 区 、 直 辖 市 ) 通信 管理 局 立即 全 面 了 解 本 行政 区 域 受 影响 情况 ， 并 及 
时 报 部 应 急 办 。 基 础 电信 企业 、 域 名 机 构 、 互 联网 企业 立即 了 解 自身 网 络 和 系统 受 影 响 情况 ， 
并 及 时 报 部 应 急 办 。 

启动 贡 级 、[V 级 响应 后 ， 相 关 省 〈 自 治 区 、 直 辖 市 ) 通信 管理 局 组 织 相关 单位 加 强 事态 跟 
踪 研 判 。 


5.5 ”决策 部 署 


启动 工 级 、 开 级 响应 后 ， 部 领导 小 组 或 部 应 急 办 紧急 召开 会 议 , 听取 各 相关 方面 情况 汇报 ， 
研究 紧急 应 对 措施 ， 对 应 急 处 置 工作 进行 决策 部 署 。 

针对 突 发 事件 的 类 型 、 特 点 和 原因 ， 要 求 相关 单位 采取 以 下 措施 : 带宽 紧急 扩容 、 控 制 攻 
击 源 、 过 滤 攻 击 流量 、 修 补漏 洞 、 查 杀 病 毒 、 关 闭 端口 、 启 用 备份 数据 、 暂 时 关闭 相关 系统 等 ; 
对 大 规模 用 户 信息 泄露 事件 ， 要 求 事 发 单位 及 时 告知 受 影响 的 用 户 ， 并 告知 用 户 减轻 危害 的 措 
施 ， 防 止 发 生 次 生 、 衍 生 事件 的 必要 措施 ， 其 他 可 以 控制 和 减轻 危害 的 措施 。 

做 好 信息 报 送 。 及 时 向 国家 网 络 安全 应 急 办 公 室 等 报告 突 发 事件 处 置 进展 情况 ; 视 情况 由 
部 应 急 办 向 相关 职能 部 门 、 相 关 行 业主 管 部 门 通报 突 发 事件 有 关 情 况 ， 必 要 时 向 相关 部 门 请 求 
提供 支援 。 视 情况 向 外 国政 府 部 门 通报 有 关 情 况 并 请 求 协助 。 

注重 信息 发 布 。 及 时 向 社会 公众 通告 突 发 事件 情况 ， 宣 传 避免 或 减轻 危害 的 措施 ， 公 布 咨询 
电话 ， 引 导 社会 与 论 。 未 经 部 应 急 办 同意 ， 各 相关 单位 不 得 擅自 向 社会 发 布 突 发 事件 相关 信息 。 

启动 贡 级 、IV 级 响应 后 ， 相 关 省 〈 自 治 区 、 直 辖 市 ) 通信 管理 局 组 织 相关 单位 开展 处 置 工 
作 。 处 置 中 需要 其 他 区 域 提供 配合 和 支持 的 ， 接 受 请 求 的 省 〈 自 治 区 、 直 辖 市 ) 通信 管理 局 应 
当 在 权限 范围 内 积极 配合 并 提供 必要 的 支持 ， 必 要 时 可 报请 部 应 急 办 予以 协调 。 


S$.6 ”结束 响应 


突 发 事件 的 影响 和 危害 得 到 控制 或 消除 后 ，1 级 响应 根据 国家 有 关 决 定 或 经 部 领导 小 组 批 
准 后 结束 ， 开 级 响应 由 部 应 急 办 决定 结束 ， 并 报 部 领导 小 组 ; 本 级 、IV 级 响应 由 相关 省 〈 自 治 
区 、 直 辖 市 ) 通信 管理 局 决定 结束 ， 并 报 部 应 急 办 。 


6. 事后 总 结 


6.1 调查 评估 


公共 互联 网 网 络 安全 突 发 事件 应 急 响 应 结束 后 ， 事 发 单位 要 及 时 调查 突 发 事件 的 起 因 〈 包 
括 直 接 原 因 和 间接 原因 ) 、 经 过 、 责 任 ， 评 估 突 发 事件 造成 的 影响 和 损失 ， 总 结 突 发 事件 防范 
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和 应 急 处 置 工作 的 经 验 教训 ， 提 出 处 理 意见 和 改进 措施 ， 在 应 急 响 应 结束 后 10 个 工作 日 内 形 
成 总 结 报告 ， 报 电信 主管 部 门 。 电 信 主 管 部 门 汇总 并 研究 后 ， 在 应 急 响 应 结束 后 20 个 工作 日 
内 形成 报告 ， 按 程序 上 报 。 


6.2 ”奖惩 问 责 
工业 和 信息 化 部 对 网 络 安全 突 发 事件 应 对 工作 中 作出 突出 贡献 的 先进 集体 和 个 人 给 予 表 
彰 或 奖励 。 


对 不 按照 规定 制定 应 急 预 案 和 组 织 开展 演练 ， 迟 报 、 谎 报 、 瞒 报 和 漏 报 突 发 事件 重要 情况 ， 
或 在 预防 、 预 警 和 应 急 工作 中 有 其 他 失职 、 渎 职 行为 的 单位 或 个 人 ， 由 电信 主管 部 门 给 予 约 谈 、 通 
报 或 依法 、 依 规 给 予 问 责 或 处 分 。 基 础 电信 企业 有 关 情 况 纳入 企业 年 度 网 络 与 信息 安全 责任 考核 。 


7. 预防 与 应 急 准 备 


7.1 预防 保护 


基础 电信 企业 、 域 名 机 构 、 互 联网 企业 应 当 根据 有 关 法 律 法 规 和 国家 、 行 业 标准 的 规定 ， 
建立 健全 网 络 安全 管理 制度 ， 采 取 网 络 安 全 防护 技术 措施 ， 建 设 网 络 安全 技术 手段 ， 定 期 进行 
网 络 安全 检查 和 风险 评估 ， 及 时 消除 隐患 和 风险 。 电 信 主 管 部 门 依法 开展 网 络 安全 监督 检查 
指导 督促 相关 单位 消除 安全 隐患 。 


7.2 ”应 急 演练 


电信 主管 部 门 应 当 组 织 开展 公共 互联 网 网 络 安全 突 发 事件 应 急 演练 ,提高 相关 单位 网 络 安 
全 突 发 事件 应 对 能 力 。 基 础 电信 企业 、 大 型 互联 网 企业 、 域 名 机 构 要 积极 参与 电信 主管 部 门 组 
织 的 应 急 演练 ， 并 应 每 年 组 织 开展 一 次 本 单位 网 络 安全 应 急 演练 ， 应 急 演 练 情况 要 向 电信 主管 
部 门 报告 。 


7.3 ”宣传 培训 


电信 主管 部 门 、 网 络 安 全 专业 机 构 组 织 开展 网 络 安全 应 急 相 关 法 律 法 规 、 应 急 预 案 和 基本 
知识 的 宣传 教育 和 培训 ， 提 高 相关 企业 和 社会 公众 的 网 络 安全 意识 和 防护 、 应 急 能 力 。 基 础 电 
信和 企业 、 域 名 机 构 、 互 联网 企业 要 面向 本 单位 员工 加 强 网 络 安全 应 急 宣传 教育 和 培训 。 鼓 励 开 
展 各 种 形式 的 网 络 安全 竞赛 。 


7.4 手段 建设 


工业 和 信息 化 部 规划 建设 统一 的 公共 互联 网 网 络 安全 应 急 指挥 平台 ， 汇 集 、 存 储 、 分 析 有 
关 突 发 事件 的 信息 ， 开 展 应 急 指挥 调度 。 指 导 基 础 电信 企业 、 大 型 互联 网 企业 、 域 名 机 构 和 网 
络 安全 专业 机 构 等 单位 规划 建设 本 单位 突 发 事件 信息 系统 ， 并 与 工业 和 信息 化 部 应 急 指挥 平台 
实现 互联 互通 。 
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7.$ 工具 配备 


基础 电信 企业 、 域 名 机 构 、 互 联网 企业 和 网 络 安全 专业 机 构 应 加 强 对 木马 查 杀 、 漏 洞 检测 、 
网 络 扫描 、 渗 透 测试 等 网 络 安全 应 急 装 备 、 工 具 的 储备 ， 及 时 调整 、 升 级 软件 硬件 工具 。 鼓 励 
研制 开发 相关 技术 装备 和 工具 。 


8. 保障 措施 


8.1 落实 责任 


各 省 (自治 区 、 直 辖 市 ) 通信 管理 局 、 基 础 电信 企业 、 域 名 机 构 、 互 联网 企业 、 网 络 安全 
专业 机 构 要 落实 网 络 安全 应 急 工作 责任 制 ， 把 责任 落实 到 单位 领导 、 具 体 部 门 、 具 体 岗 位 和 个 
人 ， 建 立 健全 本 单位 网 络 安全 应 急 工作 体制 机 制 。 


8.2 经费 保 障 


工业 和 信息 化 部 为 部 应 急 办 、 各 省 〈 自 治 区 、 直 辖 市 ) 通信 管理 局 、 网 络 安全 专业 机 构 开 
展 公共 互联 网 网 络 安全 突 发 事件 应 对 工作 提供 必要 的 经 费 保障 。 基 础 电信 企业 、 域 名 机 构 、 大 
型 互联 网 企业 应 当 安 排 专 项 资金 ， 支 持 本 单位 网 络 安全 应 急 队伍 建设 、 手 段 建设 、 应 急 演练 、 
应 急 培训 等 工作 开展 。 


8.3 队伍 建设 


网 络 安全 专业 机 构 要 加 强 网 络 安全 应 急 技 术 支 撑 队 伍 建设 ,不 断 提 升 网 络 安全 突 发 事件 预 
防 保护 、 监 测 预警 、 应 急 处 置 、 攻 击 溯源 等 能 力 。 基 础 电信 企业 、 域 名 机 构 、 大 型 互联 网 企业 
要 建立 专门 的 网 络 安全 应 急 队伍 ， 提 升 本 单位 网 络 安全 应 急 能 力 。 支 持 网 络 安全 企业 提升 应 急 
支撑 能 力 ， 促 进 网 络 安全 应 急 产 业 发 展 。 


8.4 社会 力量 


建立 工业 和 信息 化 部 网 络 安全 应 急 专 家 组 ， 充 分 发 挥 专家 在 应 急 处 置 工作 中 的 作用 。 从 网 
络 安全 专业 机 构 、 相 关 企业 、 科 研 院 所 、 高 等 学 校 中 选拔 网 络 安全 技术 人 才 ， 形 成 网 络 安全 技 
术 人 才 库 。 

8.5 ”国际 合作 


工业 和 信息 化 部 根据 职责 建立 国际 合作 渠道 ,签订 国际 合作 协议 ， 必 要 时 通过 国际 合作 应 
对 公共 互联 网 网 络 安全 突 发 事件 。 鼓 励 网 络 安全 专业 机 构 、 基 础 电信 企业 、 域 名 机 构 、 互 联网 
企业 、 网 络 安全 企业 开展 网 络 安全 国际 交流 与 合作 。 
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9. 附则 


9.1 预案 管理 


本 预案 原则 上 每 年 评估 一 次 ， 根 据 实际 情况 由 工业 和 信息 化 部 适时 进行 修订 。 

各 省 (自治 区 、 直 辖 市 ) 通信 管理 局 要 根据 本 预案 ， 结 合 实际 制定 或 修订 本 行政 区 域 公共 
互联 网 网 络 安全 突 发 事件 应 急 预 案 ， 并 报 工业 和 信息 化 部 备案 。 

基础 电信 企业 、 域 名 机 构 、 互 联网 企业 要 制定 本 单位 公共 互联 网 网 络 安全 突 发 事件 应 急 预 
案 。 基 础 电信 企业 、 域 名 机 构 、 大 型 互联 网 企业 的 应 急 预 案 要 向 电信 主管 部 门 备案 。 


9.2 ”预案 解释 
本 预案 由 工业 和 信息 化 部 网 络 安全 管理 局 负责 解释 。 
9.3 ”预案 实施 时 间 


本 预案 自 印发 之 日 (2017 年 11 月 14 日 ) 起 实施 。2009 年 9 月 29 日 印发 的 《公共 互联 网 
网 络 安全 应 急 预 案 》 同 时 废止 。 
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